O breșă de securitate costă, în medie, aproape cinci milioane de dolari

(Cristiana Deca, Expert Guvernanță Cibernetică, CEO&Cofondator Decalex) 

Miza trecerii responsabilului cu securitatea datelor din companii este evitarea iscului unor amenzi de zeci de milioane de euro.

Complexitatea și intensificarea atacurilor cibernetice, presiunea legislativă generată de Regulamentul DORA și Directiva NIS2, precum și impactul financiar tot mai mare al incidentelor de securitate definesc noul context în care operează companiile europene.

Astăzi, o breșă de securitate costă, în medie, aproape cinci milioane USD la nivel global, conform IBM Cost of a Data Breach Report 2024 – un record istoric, cu o creștere de 10% față de anul precedent. În paralel, economia europeană pierde anual peste 100 de miliarde de euro din cauza criminalității cibernetice, doar costurile directe estimate pentru principalele economii depășind constant acest prag, potrivit analizelor agregate ale industriei și autorităților europene.

În acest context, tot mai multe organizații încep să conștientizeze faptul că menținerea Chief Information Security Officer-ului (CISO) exclusiv în structura IT creează vulnerabilități structurale, atât în modelul de business, cât și în procesul decizional. Cristiana Deca, expert în guvernanța riscurilor cibernetice și CEO & cofondator Decalex, identifică trei motive principale pentru care se impune o schimbare rapidă de abordare.

Primul motiv: conflictul de interese

Chief Information Officer (CIO) este responsabil de livrarea proiectelor digitale și optimizarea costurilor, în timp ce CISO‑ul are mandatul de a încetini sau chiar opri inițiativele care cresc expunerea la risc. Când ambele roluri raportează în același lanț ierarhic, securitatea pierde aproape întotdeauna în fața presiunilor de business.

Această tensiune nu mai este un detaliu operațional, ci un factor de risc financiar major. Într‑un mediu în care aproape 70% dintre organizațiile afectate de breșe raportează perturbări semnificative ale operațiunilor, deciziile care „îngroapă” riscul pentru a respecta termene sau bugete IT pot genera pierderi de ordinul milioanelor.

Independența raportării CISO‑ului este singura care asigură că Board‑ul primește o imagine realistă asupra riscurilor și impactului lor potențial asupra afacerii.

Al doilea motiv: schimbarea naturii riscului cibernetic

Riscul cibernetic a devenit o problemă de top management, nu una tehnică. Breșele de securitate nu mai sunt incidente izolate, ci evenimente cu impact direct asupra veniturilor, reputației și valorii de piață.

La nivel european, pierderile cumulate cauzate de atacuri cibernetice – inclusiv ransomware, furt de date și sabotaj digital – sunt estimate la peste 100 de miliarde de euro anual, afectând competitivitatea și stabilitatea economică a companiilor.

Directiva NIS2 impune obligații directe organelor de conducere, care trebuie să aprobe, să supravegheze și să fie capabile să demonstreze controlul asupra măsurilor de securitate. Pentru entitățile esențiale, amenzi de până la 10 milioane de euro sau 2% din cifra de afaceri globală pot fi aplicate pentru neconformitate, iar responsabilitatea nu mai poate fi delegată integral către IT. Mai mult, Articolul 20 din NIS2 introduce răspunderea directă a membrilor Board‑ului, inclusiv posibilitatea unor sancțiuni personale în caz de neglijență gravă.

În acest context, rolul CISO este acela de a traduce riscul tehnic în limbaj de business, a avertiza, practic, top managementul asupra cazului în care un sistem cade ori bazele de date sunt compromise, compania pierde bune milioane de euro  și de a ghida decizia strategică privind investițiile necesare pentru reducerea riscului la un nivel acceptabil.

Al treilea motiv: calitatea deciziilor strategice

Un CISO poziționat la nivel de guvernanță poate contribui decisiv la evaluarea riscurilor în fuziuni și achiziții, lansări de produse digitale sau extinderi internaționale. În lipsa acestei perspective, organizațiile riscă să subestimeze pasive latente care pot exploda financiar după o tranzacție sau un incident major.

Studiile arată că organizațiile care folosesc guvernanță matură și instrumente avansate de securitate reușesc să reducă impactul unei breșe cu milioane de dolari față de cele care tratează securitatea ca pe o funcție pur tehnică.

În timp ce CIO urmărește sisteme rapide și accesibile, CISO urmărește sisteme sigure – chiar dacă acest lucru înseamnă uneori mai puțină comoditate. Această tensiune este esențială și trebuie reflectată în structura de guvernanță, nu eliminată prin subordonarea securității intereselor IT.

Schimbarea este accelerată și de utilizarea inteligenței artificiale de către atacatori, care crește viteza, amploarea și personalizarea atacurilor. În acest context, un CISO limitat la bugete IT și procese reactive devine rapid depășit.

vCISO – o soluție pragmatică pentru organizațiile mai mici

Pentru companiile mici și mijlocii, menținerea unui CISO intern este adesea costisitoare. O alternativă viabilă este modelul de vCISO, care oferă expertiză de nivel executiv în guvernanța riscului cibernetic, fără costurile unui rol permanent.

„Securitatea cibernetică nu mai este o funcțiune de suport, ci o componentă strategică a rezilienței organizaționale. Momentul pentru schimbare nu este după următorul incident major, ci înaintea lui”, concluzionează Cristiana Deca.

În noile reglementări europene, CISO‑ul și Board‑ul pot fi trași la răspundere directă pentru neglijență, iar mutarea securității în zona de guvernanță devine o ajustare inevitabilă, nu o opțiune.