Despre motto-ul Chenist

ProActive Cybersecurity

Motto-ul nu e o decorație. Descrie postura prin care alegem să lucrăm — opusă atât pasivității, cât și panicii.

În securitatea cibernetică se vorbește, în engleză, despre două posturi: reactivă și proactivă. Diferența dintre ele nu este academică. Este diferența dintre o companie care răspunde la incidente pe măsură ce vin și o companie care le previne sau, când vin, le primește pregătită.

Motto-ul nostru — ProActive Cybersecurity — este o declarație de poziție. Suntem oamenii pe care îi chemi înainte să ai nevoie de oameni la care să strigi după un incident. Și e o promisiune față de clienții noștri: indiferent dacă vă livrăm un training, o evaluare NIS2 sau un abonament vCISO, măsurăm succesul prin ceea ce nu se întâmplă — incidentele care nu mai au loc, auditurile care trec din primul foc, chestionarele de la clienții mari la care răspundeți în doi pași, nu în două săptămâni.

Postura reactivă

Postura reactivă este, în esență, o serie de răspunsuri. Vine un atac — îl conții. Vine un audit — pregătești documentele peste noapte. Vine o cerere de la asigurător — completezi chestionarul cu ce găsești în sertar. Vine o cerere de la un client mare — angajezi rapid pe cineva ca să trimiți răspunsul în termen.

Funcționează un timp. Costă scump, nu doar în bani — costă în seri pierdute, în decizii proaste luate sub presiune, în contracte ratate pentru că nu ați avut documentele la timp. Funcționează până într-o zi în care nu mai funcționează: un incident grav, o amendă, un client mare care pleacă, un audit ratat.

Postura proactivă

Postura proactivă pleacă de la o idee simplă: majoritatea lucrurilor care vă pot lovi pot fi anticipate. Nu toate. Dar suficient de multe încât să schimbe complet calculul.

Asta înseamnă:

  • Un inventar viu de ce sisteme aveți, ce date prelucrează, cine are acces. Actualizat, nu un Excel din 2021.
  • Un registru de riscuri care reflectă lumea de azi, nu cea de când l-ați făcut.
  • Politici și proceduri scrise, înțelese de oameni, reactualizate când realitatea se schimbă.
  • Copii de siguranță testate — nu doar configurate.
  • Un plan de răspuns la incidente repetat cel puțin o dată pe an, nu doar arhivat.
  • Personal antrenat — nu printr-o ședință anuală plictisitoare, ci printr-o cultură vie.
  • Raportare clară către conducere — care să poată lua decizii informate înainte ca lucrurile să devină crize.

Niciuna dintre aceste lucruri nu este eroică. Toate sunt disciplină.

De ce „activ” și nu „proactiv”

Cuvântul „proactiv” a fost folosit atât de mult în marketingul corporativ încât și-a pierdut conținutul. „Vom adopta o abordare proactivă” poate să însemne orice și, de obicei, nu înseamnă nimic.

Activ spune același lucru, în mai puține silabe, fără încărcătura jargonului. O companie activă în propria securitate este o companie care face ceva — astăzi, săptămâna asta, luna asta — nu doar planifică să facă, cândva.

Ce înseamnă concret pentru o companie

Trecerea de la postura reactivă la cea activă nu este o schimbare de software. Este o schimbare de ritm și de responsabilitate.

Ritm: lucrurile de securitate intră într-un calendar. O ședință lunară. Un raport trimestrial către conducere. Un exercițiu tabletop o dată pe an. O simulare de phishing trimestrială. Un audit intern anual. Asta nu cere mai mult timp în total — cere doar ca timpul să fie planificat și respectat.

Responsabilitate: cineva trebuie să dețină programul de securitate. Nu „IT-ul” sau „conducerea” la modul difuz — o persoană sau o entitate cu nume, cu un mandat clar și cu raportare directă. Pentru companiile mici și medii, această persoană e adesea costisitoare de angajat full-time — de aici și modelul vCISO, în care noi preluăm rolul.

De ce facem ceea ce facem

Pentru că vedem prea multe companii românești care s-au trezit cu un incident, cu o cerere imposibilă de la un client mare, sau cu o vizită neașteptată de la o autoritate — și au descoperit, atunci și acolo, că nu au unde să se mai pregătească. Vor să cumpere, în două săptămâni, ceva ce se construiește în doi ani.

Trecerea la o postură activă începe cu o decizie de conducere și o conversație onestă. Restul — politicile, uneltele, training-ul, raportarea — sunt execuție. Execuția este partea ușoară, dacă există decizia în spate.

Dacă citiți acest text și recunoașteți compania voastră în descrierea posturii reactive, prima conversație nu costă nimic. Programați-o →