Не могу переложить ответственность: советы директоров должны взять на себя ответственность за кибербезопасность предприятия
Исследования показывают, что четыре из пяти американских компаний подвергались попыткам взлома систем. Это удивительно высокое число. Эти атаки не происходят, потому что компании не инвестируют в продукты и услуги кибербезопасности. Согласно исследованию Gartner, в 2018 году компании должны были потратить более 90 миллиардов долларов на продукты для обеспечения ИТ-безопасности. Тем не менее, почему-то эти огромные расходы не обязательно приводят к меньшему количеству атак. Во многом это связано со слабым управлением или отсутствием контроля за кибербезопасностью предприятия на самом высоком уровне организации. Компании сталкиваются с нехваткой контекста и направления. Многие предприятия не имеют четкого представления о том, насколько безопасными они должны быть, какой уровень риска является приемлемым и что они готовы потратить, чтобы снизить риск до приемлемого уровня.
Слишком долго многие компании считали кибербезопасность чем-то, что лучше оставить на усмотрение директора по информационной безопасности, директора по безопасности, директора по информационным технологиям, директора по информационным технологиям или технического директора. Эта модель не является устойчивой, независимо от того, сколько денег предприятия вложили в приобретение новых систем кибербезопасности.
Участие совета имеет первостепенное значение
Кибербезопасность — это не просто еще одна техническая проблема, которую можно решить с помощью строго тактического подхода. Кибератака может оказать серьезное влияние не только на деятельность бизнеса, но и на репутацию и бренд компании в целом. Среднестатистический инцидент с киберпреступностью приводит к прямым и косвенным потерям в миллионы долларов. Основная обязанность совета директоров заключается в стратегическом надзоре на основе рисков с высокоуровневым представлением об эффективности политик и программ управления рисками. Из-за далеко идущих разветвлений технологий для современного предприятия эти политики управления рисками обязательно должны включать кибербезопасность. Даже те компании, которые обсуждают кибербезопасность на уровне совета директоров, часто делают это относительно пассивно. Ответственность на уровне совета директоров за разработку политики кибербезопасности и активный мониторинг управления рисками кибербезопасности обычно возлагается на комитет по аудиту. Дело не в том, что правление намеренно безразлично. Презентации ИТ-директоров или директоров по информационным технологиям скорее следуют предсказуемой рутине. Нагруженная жаргоном лекция проходит мимо всех, кроме крошечного меньшинства членов правления. Тем не менее, учитывая потенциальное влияние рисков ИТ-безопасности, кибербезопасность должна быть включена в повестку дня всех заседаний совета директоров.
Советы директоров должны быть главными поборниками корпоративной кибербезопасности.
По крайней мере, один раз в год советы должны взаимодействовать с руководством в интерактивном режиме. Они должны задавать сложные вопросы, продвигать общекорпоративные программы повышения осведомленности и обучения, а также уделять особое внимание приоритизации рисков кибербезопасности.
Советы должны структурировать и направлять беседы с руководством. Они должны настаивать на языке, который разбивает технические понятия на ясный и простой язык. Советы директоров должны стремиться установить, как бизнес снижает риск кибератаки. Они должны поощрять использование тенденций и других количественных показателей, которые легко выявляют бреши в безопасности, если таковые случаются.
С другой стороны, руководство должно представить краткую информацию о значительных событиях в области кибербезопасности, которые произошли с момента их последней презентации совету директоров, о том, как они были обнаружены, какова была реакция и какие уроки были извлечены, что поможет предотвратить подобный инцидент в будущем.
Ниже приведены некоторые из наиболее важных составляющих эффективного надзора совета директоров за кибербезопасностью.
Понимание сложности и масштаба ландшафта угроз
Члены правления обычно обладают разной степенью знаний в области кибербезопасности. На самом деле, за исключением технологических компаний, в большинстве советов будет лишь меньшинство членов с техническим образованием, необходимым для глубокого понимания кибербезопасности. К счастью, советам директоров не нужно вдаваться в технические детали.
Им нужны базовые знания в области ИТ, необходимые для принятия правильных стратегических решений в области кибербезопасности на высоком уровне. Это включает в себя понимание изменяющегося ландшафта угроз и практическое знание основных типов атак и средств контроля. Они должны понимать, что различные типы атак (вредоносное ПО, DDoS, фишинг, перехват пакетов, атаки методом подбора пароля и т. д.) потребуют различных типов защиты и контроля.
Понимание опасностей, с которыми сталкивается интернет-бизнес
Советы должны осознавать сложности безопасности, связанные с ведением части или всего бизнеса в Интернете. Предложение продуктов или услуг через Интернет делает традиционные средства защиты неадекватными. Компании правильно используют всемирную паутину, предлагая удобство клиентам и партнерам. Тем не менее, они должны следить за тем, чтобы их онлайн-каналы не становились проводниками для проведения против них атак.
Поймите, что абсолютный контроль невозможен
Правления должны понимать, что абсолютной защиты от кибербезопасности не существует. Они не могут определить, защищены ли корпоративная сеть, оборудование, операционные системы, приложения и базы данных, просто ответив «да» или «нет». Помните, что ни один бизнес не работает в среде, которая на 100% свободна от риска.
Ключевым моментом является определение хорошо продуманного приемлемого уровня риска, который не помешал бы бизнесу успешно работать. Снижение риска стоит дорого, и совет директоров должен в конечном итоге принять решение о том, какое снижение риска он может себе позволить, и в какой момент может наступить время прекратить бизнес-продукт или процесс или передать риск через страхование.
При определении приемлемого риска полезно иметь точку отсчета, такую как аналогичная структура, отраслевые эталоны, нормативные требования и стандарты кибербезопасности.
Суть в том, чтобы исполнительное руководство организации сформулировало свои границы рисков кибербезопасности и заставило правление понять и подписать это. Это ставит ставки в основу и обеспечивает руководящий набор принципов, которые формируют основу для решений в области ИТ-безопасности.
Обратите внимание, что заявления об аппетите к риску не должны быть статичными. Вместо этого они должны развиваться вслед за новой информацией, кибератаками, системными изменениями и повторной калибровкой общей стратегии организации.
Сосредоточьтесь на местных рисках
Совет директоров должен сосредоточиться на рисках, характерных для местных предприятий. Каждый месяц или два крупная брешь в кибербезопасности попадает в заголовки международных газет. Драматические (иногда сенсационные) новости о таких событиях часто заставляют правление повсюду сесть и спросить, защищен ли их бизнес от подобной атаки.
В этом нет ничего плохого. Тем не менее, вероятно, существуют более непосредственные и актуальные риски кибербезопасности, которым совет директоров должен уделить больше времени и ресурсов. Советы всегда должны быть непредубежденными и гибкими, но не должны позволять заголовкам новостей влиять на их повестку дня в области кибербезопасности.
Прислушиваемся к ответственным и экспертам
По вопросам рисков кибербезопасности правление обычно заслушивает директора по информационной безопасности, директора по безопасности, директора по информационным технологиям, директора по информационным технологиям, технического директора или других руководителей, отвечающих за управление и мониторинг киберрисков. Они также прислушиваются к мнению внешних аудиторов и сторонних экспертов. Как внутренние, так и внешние эксперты могут дать ценные советы о том, как лучше всего управлять развивающимся ландшафтом киберугроз.
Как минимум, обсуждение совета директоров с внутренними и внешними экспертами должно касаться кибербезопасности в контексте защиты, клиентов и реагирования на инциденты.
Есть ли у бизнеса эффективная защита, учитывающая ландшафт угроз? Отслеживает ли он активность и поведение клиентов, чтобы свести к минимуму риск кражи личных данных и несанкционированного использования учетных данных для доступа? Если хакеры или вредоносные программы успешно взламывают защиту, достаточно ли готов бизнес, чтобы быстро остановить и сдержать их?
Кибербезопасность предприятия: это разумно
Кибербезопасность становится все более важной темой для советов директоров. В свете этого члены правления должны занимать активную позицию в количественной оценке и мониторинге рисков кибербезопасности. Правления должны понимать, что кибербезопасность представляет собой риск для всего предприятия. Это не просто проблема ИТ, как многие предполагали в прошлом.
В конечном счете, советы директоров подотчетны акционерам компании и должны демонстрировать ясность в отношении состояния и направления бизнеса. Поэтому разумно, что они берут на себя ответственность за кибербезопасность. Это не позволит их бизнесу стать следующей неудачной статистикой кибератаки.