Zarządowi wciąż uważającemu cyberbezpieczeństwo za generator kosztów, domagającemu się szczegółowych wyliczeń ROI, nie tak trudno pokazać, że po prostu da ono firmie przewagę na rynku.
Można przy tym wyróżnić kilka poziomów w podejściu organizacji do bezpieczeństwa.
Na tym najniższym i najmniej dojrzałym jest ono właśnie generatorem kosztów. W efekcie dział IT jest przeciążony obowiązkami i cierpi na brak zasobów. Poziom wyżej jest postrzeganie bezpieczeństwa wyłącznie w kategoriach zgodności z przepisami. Trzeba sobie jednak zdawać sprawę, że choć dbanie o compliance zapewnia pewien spokój, to nie daje gwarancji właściwej ochrony. Na kolejnym poziomie bezpieczeństwo są technologie - organizacja wychodzi z założenia, że zastosowanie odpowiednich środków technicznych załatwia sprawę. Wreszcie poziom najwyższy, na nim security staje się czynnikiem stymulującym rozwój organizacji - widzi się wtedy rzeczywistą korzyść z wdrażania bezpieczeństwa i staje się ono elementem kultury organizacyjnej. W tym najbardziej dojrzałym podejściu takie kwestie, jak zapewnienie zgodności z przepisami, są spodziewanym efektem ubocznym.
Problemem jest to, że nawet organizacjom świadomym zagrożeń z trudem przychodzi inwestowanie w cyberbezpieczeństwo. W jakimś stopniu są do tego zmuszone przez regulacje, takie jak RODO, ale to wciąż drugi poziom dojrzałości w podejściu do security. Tymczasem wydawanie pieniędzy na ochronę i wspinanie się na poziom najwyższy powinny postrzegać przez pryzmat zysków, jakie może im to przynieść.
Weźmy na warsztat firmy działające w modelu B2C. Mają one wiele powodów, by zadbać cyberbezpieczeństwo. Gdy działają online, przetwarzają płatności i inne dane dotyczące klientów, muszą dowieść, że można im zaufać. Klienci chętniej będą robić zakupy w serwisie internetowym potrafiącym wykazać, jakie środki zostały użyte, by byli chronieni przed cyberprzestępstwami, takimi jak kradzież tożsamości. To skuteczny argument marketingowy.
A B2B? Także dla firm działających w modelu B2B, prowadzących interesy z innymi podmiotami, zapewnienie cyberbezpieczeństwa to podstawa w rozwijaniu biznesu. Jeśli nie będą mieć dobrze zdefiniowanej polityki bezpieczeństwa, partnerzy raczej nie będą skłonni do dzielenia się swoimi zasobami i informacjami. Nie bez powodu - do największych kradzieży danych dochodzi zwykle w wyniku włamania z użyciem poświadczeń zewnętrznego dostawcy.
Przykłady można mnożyć. Jeśli więc cyberbezpieczeństwo będzie właściwie utrzymywane, kontrolowane i traktowane jako element kultury organizacji, to może dawać dziś przewagę na bardzo konkurencyjnym rynku.
