Как сделать кибербезопасность приоритетом для совета директоров

Опубликовано: 30 Марта, 2023
Как сделать кибербезопасность приоритетом для совета директоров

Вам будет простительно предположить, что с учетом количества крупных кибератак и утечек данных, которые ежемесячно попадают в заголовки, советы директоров автоматически сделают кибербезопасность приоритетом. Тем не менее, для слишком многих предприятий кибербезопасность лишь временно получает серьезное внимание со стороны совета директоров, а затем отходит на второй план до следующего громкого нарушения.

Эта невидимость может разочаровать менеджеров по кибербезопасности, руководителей предприятий и акционеров компаний. Тем не менее, ни одна из этих заинтересованных сторон не может позволить, чтобы вопросы кибербезопасности стали предметом обсуждения на заседаниях совета директоров. Хорошо, что невидимость кибербезопасности на уровне правления не является неизбежной. Многим компаниям удалось сделать киберриски главным приоритетом. Вот некоторые из способов, как.

1. Сосредоточьтесь на рентабельности инвестиций и рисках, а не на угрозах и уязвимостях

Мониторинг безопасности и отчеты об угрозах могут продемонстрировать рост числа кибератак. Однако они не могут ответить, насколько безопасна организация или какова потенциальная стоимость успешной атаки для бизнеса. Отчеты по безопасности и презентации для совета директоров должны быть разработаны таким образом, чтобы донести целостную картину рисков и затрат.

Практически все советы признают, что успешная атака имеет финансовые последствия. Им нужно руководство относительно того, как стоимость снижения риска сравнивается со стоимостью потенциального воздействия. Руководители по информационной безопасности (CISO) должны конвертировать риски в реальные потери. Например, каково потенциальное влияние кибератаки на акционерную стоимость и цену акций?

Конечно, ни у одной организации нет финансовых возможностей, чтобы защитить себя от всех возможных киберугроз. Сосредоточьтесь на рентабельности инвестиций и рисках, чтобы помочь совету директоров найти правильный баланс между средствами контроля и бизнес-операциями.

2. Иметь в совете директоров чемпиона по кибербезопасности

Всегда легче управлять делом всей компании, когда у вас есть кто-то на самом высоком уровне принятия решений, кто понимает и поддерживает это. В последние годы организации стремились диверсифицировать советы директоров, предлагая широкий спектр знаний, навыков и взглядов, включая управление инвестициями, человеческие ресурсы, управление рисками и информационные технологии.

Чтобы не отставать от этой тенденции, компании должны иметь в своем совете экспертов по киберрискам. Это особенно важно для организаций в отраслях, которые часто становятся жертвами киберпреступлений, таких как финансовые услуги, коммунальные услуги, здравоохранение и розничная торговля. С чемпионом по безопасности в правлении будет кто-то, кто обладает знаниями, необходимыми для того, чтобы безопасность была в центре обсуждения на совете директоров. Они могут помочь своим коллегам, менее склонным к технологиям, разобраться в киберрисках.

3. Продемонстрировать, что киберстрахование не может покрыть все убытки

Киберстрахование — новый, но мощный инструмент снижения киберрисков. Обычно он покрывает обязательства, возникающие из-за утечки данных. К ним относятся повреждение инфраструктуры, восстановление данных, ремонт системы, судебные издержки и любые уведомления, рассылаемые пострадавшим клиентам. Хотя это важное дополнение к арсеналу, который предприятия могут использовать для защиты от киберрисков, оно может непреднамеренно дать советам директоров ложное чувство безопасности.

Советам необходимо показать, что киберстрахование не покрывает все убытки, например, убытки, возникающие в результате кражи интеллектуальной собственности или модернизации инфраструктуры для предотвращения атак в будущем. Например, после атаки программы-вымогателя киберстрахование даст бизнесу уверенность в том, что он не будет платить выкуп, но не уменьшит потери от репутационного ущерба.

Вместо этого советам директоров следует ожидать многогранного подхода, при котором киберстрахование является долгожданным дополнением к набору инструментов управления рисками, которые способствуют предотвращению рисков, киберустойчивости и быстрому реагированию на инциденты.

4. Подчеркните, что кибербезопасность не является ИТ-проблемой

Взгляните на самые дорогие компании мира сегодня и сравните их с ситуацией 30 лет назад. Данные, безусловно, новая нефть. А поскольку данные и ИТ-системы являются двигателем, на котором работают современные организации, кибератаки считаются самой большой экзистенциальной угрозой для организаций в 2022 году. Поэтому киберриски должны быть в центре дискуссий о наиболее серьезных рисках, с которыми сталкивается бизнес. Однако это не всегда так.

Помимо директора по информационной безопасности, директора по информационным технологиям и, возможно, одного или двух заинтересованных членов совета директоров, многие советы директоров и руководители высшего звена по-прежнему рассматривают киберриски как ИТ-проблему. И как ИТ-проблему, о ней можно позаботиться, просто добавив новое программное обеспечение и пересмотренные конфигурации системы. Это дорогостоящая ошибка. Правлениям следует напоминать так часто, как это необходимо, о том, что киберриски — это корпоративные риски. Если атака программы-вымогателя окажется успешной, она может нанести ущерб всему бизнесу, а не только ИТ-отделу.

5. Сообщите, что киберриски быстро развиваются

Советы будут давать указания по ряду вопросов. Когда они сидят и одобряют вопрос, они могут не рассчитывать на то, что будут решать тот же вопрос через несколько недель. Такое мышление может быть проблематичным для кибер-рисков. Средства контроля, введенные всего несколько недель назад, могут стать неэффективными из-за нового непредвиденного события.

Таким образом, следует сообщить советам директоров, что то, что они приняли решение по определенному вопросу кибербезопасности на своем последнем собрании, не означает, что через несколько недель им не придется изменить это решение в пользу лучшего решения. Необходимость в таком гибком мышлении не уникальна для управления киберрисками. Однако приобретает исключительное значение, учитывая, насколько быстро меняется ландшафт киберугроз.

Правление не может позволить себе игнорировать кибербезопасность

Киберугрозы продолжают быстро развиваться в плане сложности и масштаба. Управление киберрисками всегда требовало компромисса между риском и затратами. Этот баланс будет и впредь иметь важное значение. Сегодня организации сталкиваются с самыми грозными киберпреступниками в истории. Они варьируются от синдикатов организованной преступности до спонсируемых государством хакерских групп.

Поскольку на карту поставлено так много, предприятия не могут позволить себе иметь советы, которые не занимаются киберрисками. Чтобы правление уделяло кибербезопасности заслуженное внимание, оно должно быть оснащено информацией и возможностями, необходимыми для принятия правильных решений по управлению рисками в организации.

Фото кредит: Pixabay

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023