Кибербезопасность: семь вопросов для советов директоров

На каждую технологию, которую придумывают специалисты по кибербезопасности, злоумышленники находят обходные пути — это лишь вопрос времени. И на новом этапе нужны новые управленческие принципы для обеспечения безопасности организаций. Для советов директоров это означает иные подходы к фидуциарной ответственности и надзорным функциям в сфере контроля рисков. Директора больше не могут игнорировать проблемы кибербезопасности или отдавать их на откуп операционным менеджерам; они должны показывать свою компетентность, ставить эти вопросы в приоритет и демонстрировать готовность решать возникшие проблемы. Многие директора это осознают, однако они порой не знают, с чего начать.

Мы провели исследование, чтобы понять, как советы директоров решают поставленные перед ними проблемы. Только 68% респондентов на вопрос «Как часто советы директоров вашей организации обсуждают проблемы кибербезопасности?» смогли ответить «регулярно» или «постоянно»; 9% признались, что эти вопросы на заседаниях совета директоров их компании не затрагиваются вовсе.

Интересна и динамика восприятия роли совета директоров по данной проблеме. Хотя 50% респондентов отметили, что она обсуждалась в их компании, единого мнения о том, в чем эта роль должна заключаться, не наблюдается. 41% респондентов назвали зоной ответственности совета директоров общие рекомендации управляющим и высшему руководству; участие в учебно-теоретических мероприятий отметили 14%; 23% полагают, что совет директоров должен просто быть настороже и демонстрировать готовность «вмешаться при необходимости». При этом 23% респондентов также посетовали на то, что у совета нет ни плана, ни стратегии.

На основе полученных данных мы разработали для советов директоров рекомендации о том, какой информацией они должны располагать, какие действенные шаги необходимо предпринимать и какие вопросы им следует обсудить на следующем заседании.

Пять идей о кибербезопасности, которые важно понимать совету директоров

1. Кибербезопасность — это не только про «защиту данных»

В былые времена обеспечение кибербезопасности было синонимом «защиты данных». Руководители компаний переживали о потенциальных утечках персональных данных, краже баз покупателей или информации по кредитным картам. Все это по-прежнему представляет собой серьезную угрозу, но кибербезопасность — это нечто большее, чем просто защита данных. В результате цифровизации методов работы и технологий компаний, с подключением промышленных комплексов к системам с функциями дистанционного управления основным оборудованием и внедрением автоматизированных процессов оформления и исполнения заказов в цепях поставок горизонты потенциальных рисков, связанных с кибербезопасностью, значительно расширяются. Небрежность в этом деле отныне грозит не только штрафом за недостаточную защиту персональных данных. Директорам следует иметь реальные представления относительно физических и цифровых киберугроз.

2. Советам директоров необходимо деятельно участвовать в контроле за обеспечением кибербезопасности

Совет директоров должен обеспечить готовность организации к различным рискам. В то же время детальная проработка планов реагирования в зону ответственности советов директоров не входит. Существует множество разработанных практик, способных помочь организациям формировать стратегии кибербезопасности. Лучшая из них — созданная Национальным институтом стандартов и технологий США методика NIST (National Institute of Standards and Technology). Она достаточно проста и представляет собой схему для осмысления важнейших аспектов кибербезопасности, которую должны знать руководители высшего звена. При этом NIST содержит все необходимые детали, так что использовать ее наработки могут и профессионалы для внедрения методов контроля и процедур. Использование NIST сделает организацию более подготовленной к отражению кибератаки или к сглаживанию ее последствий.

В рамках NIST определено пять ключевых направлений: идентификация, защита, обнаружение, ответ, восстановление. У хорошо подготовленных к киберинцидентам организаций имеется разработанный и согласованный с начальством план действий по каждому из пяти указанных направлений схемы NIST, что со временем позволит этим фирмам довести процессы обеспечения кибербезопасности до автоматизма.

3. Советы директоров должны сфокусироваться на рисках, репутации и обеспечении непрерывности деятельности компании

Когда ИТ-специалисты разрабатывают те или иные рекомендации и практики, они держат в голове три фундаментально важных приоритета для функционирования систем и оборота информации: конфиденциальность, целостность и доступность. Но когда речь идет о сфере ответственности совета директоров, набор приоритетов совсем иной: риски, репутация, непрерывность деятельности.