V ponedeljek, 22. maja se začne mednarodna konferenca Dnevi korporativne varnosti, ki jo organizirajo Institut za korporativne varnostne študije (ICS Ljubljana), Slovensko združenje korporativne varnosti ter South-Eastern Europe Corporate Security Association. Kot uvod v izmenjavo znanja in izkušenj o celovitem upravljanju varnosti v organizacijah in še posebej o kibernetski varnosti smo se pogovarjali z dr. Denisom Čaleto, vodjo programskega odbora konference in predsednikom sveta Instituta za korporativne varnostne študije.
Letos je že 14. konferenca, kako se je z vaše perspektive spreminjala obravnava korporativne varnosti v zadnjih dveh desetletjih?
Korporativna varnost je v zadnjem obdobju doživela svoje zvezdniške trenutke, ki so posledica potreb, da se glavni procesi v naših organizacijah izvajajo varno in neprekinjeno. Seveda je tej potrebi največje izzive predstavljalo ravno zahtevno varnostno okolje, v katerem organizacije poslujejo. Krize so postale stalnica, ki nimajo več cikličnih nihanj, temveč se skorajda vrstijo ena za drugo. Ta potreba po razvoju profesije korporativne varnosti se odraža tudi v razvoju same konference Dnevi korporativne varnosti, za katero lahko rečem, da predstavlja najbolj eminenten dogodek iz tega področja v širšem regijskem prostoru. Na dogodek v zadnjem obdobju ne prihaja samo strokovna javnost, temveč tudi strateški odločevalci iz gospodarskega in javnega okolja. To pa je ključno za nadaljnje dvigovanje pomembnosti dogodka in seveda korporativne varnosti same po sebi. Dogodek je tudi priložnost, da izpostavimo posameznike in organizacije, ki so na tem področju varnosti naredili posebne korake. Letos bomo tako podelili enajsto nagrado Slovenian Grand Security Award.
Kaj trenutno najbolj zaznamuje dejavnost korporativne varnosti, v napovedi konference ste izpostavili informacijska in kibernetska tveganja?
Korporativna varnost je v organizacijah postala neodtujljiv proces, ki se prepleta in podpira delovanje vseh ostalih procesov. Različna krizna stanja pred organizacije postavljajo pomembne izzive, ki jih v večini primerov upravljajo in poskušajo obvladovati v okviru služb korporativne varnosti. Seveda je poleg tega treba razumeti tudi izzive, ki jih prinaša informacijska družba s svojimi tehnologijami, ki na eni strani olajšajo poslovanje, na drugi strani pa prinesejo pomembne varnostne izzive. V tem okviru nikakor ne smemo pozabiti človeka, kot tisti agregat, ki je lahko najmočnejši člen organizacije, lahko pa predstavlja tudi visoka tveganja. Vse to pa je neodtujljivo povezano z iskanjem ustreznih izobraževalnih mehanizmov, ki bi strokovnjake, ki delujejo na področju korporativne varnosti, čim bolj opolnomočili za uspešno delovanje v realnem okolju.
Kibernetska varnost naravno ne more biti del služb za informatiko. Nenaravno in nesistemsko stanje je namreč, da informatika na področju izvajanja kibernetske varnosti nadzoruje sama sebe.
Kje so po vaši oceni slovenska podjetja na področju korporativnega upravljanja varnosti? Je velika razlika med velikimi in ostalimi podjetji?
V zadnjem obdobju je v večini slovenskih podjetij zaznati pomembne spremembe pri dojemanju pomena učinkovitega obvladovanja tveganj, za kar je seveda delujoč sistem korporativne varnosti v teh organizacijah nuja. V tem okviru še posebej izstopajo tiste organizacije, ki upravljajo s kritično infrastrukturo ali so izvajalci bistvenih storitev. Vendar je ta trend zaznan tudi pri ostalih organizacijah. Dejstvo je namreč, da igranje na srečo v tem zahtevnem okolju ni več dovoljeno, zato je treba učinkovitosti in varnosti delovanja organizacij nameniti veliko pozornosti. Poseben izziv na tem področju imamo pri manjših in mikro podjetjih, kjer je seveda ključen problem pomanjkanje kadrovskih virov in tudi znanja. Na trgu se sicer pojavljajo določeni ponudniki, ki na področju korporativne varnosti ponujajo posamezen spekter storitev. Vsekakor stanje ni idealno in bo potrebno še veliko vloženega truda za izboljšanje.
Katere so trenutno največje vrzeli pri korporativni varnosti, katera so speča tveganja?
Velja izpostaviti tri. Prvo je vsekakor človek, saj je zagotavljanje varnostnega zavedanja posameznika in organizacije kot celote zelo zahteven proces. Kot drugo bi veljalo izpostaviti kibernetsko varnost, še posebej tisti del, ki je povezan z varnostjo operativnih sistemov, ki neposredno podpirajo produkcijsko okolje. Kot tretje bi izpostavil neustrezne organizacijske pristope v posameznih organizacijah, ki ne zagotavljajo ustreznih sinergij med posameznimi procesi, temveč jim dopuščajo zapiranje v posamezne okvire. Zaradi tega neučinkovitega sodelovanja ustvarjajo preveč nepotrebne entropije. Organizacije so zaradi pomanjkanja ustreznega strokovnega kadra že tako ali tako izpostavljene velikim izzivom in so taki neracionalni pristopi neustrezni in celo nevarni za učinkovitost obvladovanja varnostnih tveganj.
Preko Slovenskega združenja korporativne varnosti imate tesne stike z gospodarstvom. Na kaj so osredotočeni menedžerji v slovenskih podjetjih, kaj jim je najbolj pomembno?
Strateški menedžment je vsekakor usmerjen v učinkovito in uspešno delovanje podjetij, ki jih vodijo. Tudi pri njih je dozorelo spoznanje, da je podjetje lahko poslovno uspešno samo v primeru, da se glavni procesi odvijajo neprekinjeno ter da organizacija ustrezno obvladuje varnostna tveganja. Varnost zaposlenih, organizacijskih sredstev in procesov je postala nujna komponenta. To spoznanje je pri strateškem menedžmentu potenciralo potrebo po ustreznem vzpostavljanju strukture korporativne varnosti v njihovih organizacijah, ki jim nudi močno in popolno podporo.
Igranje na srečo v tem zahtevnem okolju ni več dovoljeno, zato je treba učinkovitosti in varnosti delovanja organizacij nameniti veliko pozornosti.
Kaj bo v prihodnje krojilo to dejavnost? Prihajajo umetna inteligenca, kvantno računalništvo, vse bolj sofisticirane in državno podprte kibernetske grožnje, nova geopolitična tveganja ...
Vsekakor je ključni izziv za izvajanje dejavnosti korporativne varnosti doseganje ustreznih znanj, ki se razvijajo z nesluteno hitrostjo. Razvoj tehnologije in pojavljanje vedno novih varnostnih izzivov, ki so se še do včeraj brali kot znanstvena fantastika, pred menedžerje korporativne varnosti postavlja zahtevo po veliki sposobnosti prilagajanja in hitri odzivnosti.
Kako vidite kibernetsko varnost v sistemu korporativnega obvladovanja varnostnih tveganj? Jo podjetja že prepoznavajo enako kot fizično ali organizacijsko varnost ali je morda še podcenjena – tudi z vidika investicij?
Informacijska oziroma ožje kibernetska varnost je postala sestavni del procesa korporativne varnosti. Celovit pristop je nujen, da sploh lahko govorimo o uspešnosti obvladovanja tveganj. Ta so postala tako kompleksna, da jih ni več mogoče razmejevati na različna področja, ali se jih lotevati s silosnimi pristopi. To tudi od strokovnjakov korporativne varnosti zahteva poglabljanje znanj na področju kibernetske varnosti. Drug pomemben moment, ki je zagotovil vključevanje kibernetske varnosti v okvir korporativne varnosti, je dejstvo, da kibernetska varnost naravno ne more biti del služb za informatiko. Nenaravno in nesistemsko stanje je namreč, da informatika na področju izvajanja kibernetske varnosti nadzoruje sama sebe.
Ponudniki storitev kritične infrastrukture morajo za kibernetsko varnost skrbeti že zaradi zakonodaje. Kako pa je s tem v drugih podjetjih? Tudi druga podjetja morajo že zaradi sebe recimo zagotavljati sistem neprekinjenega poslovanja.
Pri organizacijah, ki upravljajo s kritično infrastrukturo ali izvajajo bistvene storitve, je neprekinjeno delovanje tako pomembno za celotno družbeno skupnost, da je zakonodajalec z določenim normativnim okvirom predpisal korake in standarde, ki jih morajo zagotavljati tudi na področju kibernetske varnosti. Iz analiz lahko ocenimo, da je neprekinjenost delovanja organizacij postala nujna komponenta, kateri vodstva posvečajo zelo veliko pozornosti. Zahtevno varnostno okolje namreč ne dopušča več, da je organizacija nepripravljena na varnostna tveganja, ki jo lahko doletijo pri njenem poslovanju. Huda konkurenčna tekma namreč pomeni, da vsako podjetje, ki zaide v resne težave, največkrat zaključi s poslovanjem.