Jak CISO może przekonać zarząd do inwestycji w bezpieczeństwo? Cybersecurity w liczbach

Masz pytania? Napisz do mnie!
Tomasz Janas

Autor publikacji
Tomasz Janas

Data publikacji
18.08.2025

W świecie, w którym cyberataki potrafią sparaliżować całe łańcuchy dostaw, a regulacje takie jak NIS2, DORA czy AI Act wymuszają coraz wyższe standardy ochrony, zarządy potrzebują jasnych i rzetelnych informacji o stanie bezpieczeństwa swoich organizacji. Nie chodzi jednak o to, by „zarzucić” ich liczbami i skrótami technicznymi. Kluczem jest komunikacja językiem biznesu, rozmowa o ocenie ryzyka, jego potencjalnych skutkach i kosztach związanych z brakiem działań.

Dlaczego tradycyjne raporty nie działają

Wielu CISO nadal posługuje się zestawami wskaźników typu: liczba zablokowanych ataków, ilość załatanych podatności czy czas reakcji na incydent. Choć te dane są ważne operacyjnie, dla zarządu często są mało czytelne i nie pokazują szerszego kontekstu. Rada nadzorcza czy prezes chcą wiedzieć, jak te dane wpływają na ryzyko finansowe, reputacyjne i operacyjne – i czy mieści się ono w akceptowalnym progu (tzw. apetycie na ryzyko).

Case study: od metryki technicznej do decyzji biznesowej

Załóżmy, że w organizacji ustalono próg akceptacji strat finansowych na poziomie 5 mln zł. Jednym z kluczowych ryzyk jest atak ransomware, który może wstrzymać produkcję na 14 dni.

• Metryka techniczna (IT): „Średni czas odtworzenia systemów z kopii zapasowych wynosi 9 dni”.
• Tłumaczenie na język biznesu: „Obecne procedury odtwarzania po awarii oznaczają, że w przypadku skutecznego ataku ransomware możemy utracić zdolność produkcji na ponad tydzień. Szacowany koszt przestoju – ok. 6 mln zł. Oznacza to, że ryzyko przekracza przyjęty próg apetytu na ryzyko”.
• Rekomendacja dla zarządu: „Inwestycja w modernizację systemu backupu i testy DRP (Disaster Recovery Plan) o wartości 0,2 mln zł pozwoli skrócić czas odtworzenia do 48 godzin, co zmniejszy potencjalną stratę do 1 mln zł i utrzyma ryzyko w akceptowalnym zakresie”.

W ten sposób metryka staje się podstawą do podjęcia konkretnej decyzji inwestycyjnej, a nie abstrakcyjnym wskaźnikiem.

Jakie metryki przemawiają do zarządu

1. Zgodność z regulacjami – poziom spełnienia wymogów NIS2, DORA, ISO 27001, RODO czy wytycznych KNF. Np. „Spełniamy 78% wymogów NIS2, brakuje procedur dla zarządu i testów odporności”.
2. Ryzyko finansowe – scenariusze strat wynikających z utraty dostępności, poufności lub integralności systemów.
3. Postęp projektów krytycznych – procent zrealizowanych działań ograniczających ryzyko w kluczowych obszarach, wraz z prognozowanym efektem biznesowym.
4. Trendy zagrożeń – zmiany w krajobrazie cyberataków, np. wzrost incydentów AI-driven o 40% r/r.
5. Powiązanie z apetytem na ryzyko – jasno wskazanie, które ryzyka mieszczą się w akceptowalnych granicach, a które je przekraczają.

Komunikacja, która buduje zaufanie

Skuteczny CISO wie, że liczby to tylko początek rozmowy. Kluczem jest narracja – opowieść o tym, jak dana inwestycja czy proces wpływa na bezpieczeństwo i odporność firmy. Najlepsze raporty dla zarządu:

• pokazują trend, a nie tylko pojedynczy punkt w czasie,
• unikają żargonu technicznego,
• jasno powiązują metryki z celami strategicznymi firmy,
• zawierają wnioski i rekomendacje, które można poddać głosowaniu lub wdrożyć od razu.

Podsumowanie
CISO, który potrafi przełożyć język technologii na język ryzyka biznesowego, staje się dla zarządu partnerem strategicznym, a nie tylko dostawcą danych. W czasach, gdy cyberzagrożenia rosną szybciej niż budżety, umiejętność takiego raportowania decyduje o tym, czy inwestycje w bezpieczeństwo będą postrzegane jako koszt, czy jako klucz do utrzymania przewagi konkurencyjnej.

W PKF Polska wspieramy organizacje w tworzeniu systemów raportowania ryzyk cyber, które łączą wymogi regulacyjne, realne potrzeby biznesu i język zrozumiały dla zarządu. Dzięki temu CISO może nie tylko informować, ale i skutecznie przekonywać do działań, które naprawdę chronią biznes.