Bezpečnostní incidenty posledních týdnů a měsíců – jež se v případě Česka zhmotnily vedle veřejného sektoru zejména v podobě událostí v benešovské nemocnici a OKD – naznačují, že informační bezpečnost bude jedním z hlavních témat pro nadcházející rok. Rostoucí náklady a zejména hojně medializované incidenty povedou k první zásadní změně: bezpečnost se stane jedním z význačných (a dost možná i pravidelných) témat a otázek pro nejvyšší vedení podniků.
Členové bordu a C-level exekutivy obvykle řeší tři hlavní oblasti: zvyšování příjmů a plnění nepříjmových cílů (mise), řízení a pokud možno snižování nákladů a řízení všech relevantních druhů rizika (finanční, tržní, shody s předpisy, inovační, reputační). Riziko informačně-bezpečnostní bylo mezi ta význačná zařazeno ve většině podniků poměrně nedávno, a proto se může stát, že vám členové bordu budou klást podivné otázky – například je-li podnik proti kybernetickému útoku na 100 % chráněn. Analytici věnující se informační bezpečnosti zdůrazňují, že nic jako stoprocentní ochrana (a tudíž nulové riziko) pochopitelně neexistuje – vždy je třeba hledat ideální rovnováhu mezi mírou rizika, náklady a omezeními které jeho snižování způsobuje.
Další otázkou, na kterou by se CISO (a CIO) měli připravit je: Je to opravdu tak nebezpečné? Může se nám stát to co se stalo v podniku XY? Jak jsme na takovou věci připraveni? Analytici doporučují v takových situacích nespekulovat – nevíte-li přesně co bylo příčinou zmiňovaného incidentu, raději to řekněte a potřebné informace si dohledejte, je-li to možné. Případnou diskusi pak přeneste z konkrétního incidentu do obecnější roviny – zda a nakolik je podnik schopen podobné slabiny či hrozby odhalit, napravit je a mít v záloze DR či business continuity plán.
Otázka, kterou by si měli CIO a CISO klást sami (dost možná ale přijde ze strany bordu či zřizovatele apod.) zní: Známe míru podstupovaného kybernetického rizika? Jen tak totiž lze posoudit, zda je přiměřené (v absolutním měřítku a/nebo ve srovnání s jinými riziky) a zda ke případně třeba navýšit výdaje v bezpečnostní oblasti.
Stejně tak by měl být CISO i CIO připraven odpovědět na otázku, zda je na informační bezpečnost vydáván odpovídající objem prostředků (tedy ani hodně, ani málo) a na místě je i příprava na to, jak se postavit k vysvětlení proběhlého incidentu (jednou k němu dojde, je to jen otázka času a rozsahu). CISO musí být také připraveni na neustále se měnící bezpečností prostředí v němž musí jejich organizace fungovat a plnit soulad s předpisy. Například obdobu evropského GDPR již zavedlo více než 60 zemí (například Argentina, Austrálie, Brazílie, Egypt, Indie, Japonsko, Nigérie a Thajsko). Analytici odhadují, že do roku 2023 bude 65 % světové populace „pokryto“ legislativou na ochranu soukromí – oproti přibližně 10-15 % dnes. I proto celosvětově více než milion firem do konce roku 2022 vytvoří a obsadí pozici DPO.