Киберугрозы являются одними из самых серьезных проблем, с которыми сталкиваются организации, но сбой в обеспечении кибербезопасности по-прежнему рассматривается как критический краткосрочный риск. Отсутствие "готовности к кибербезопасности" делает компании уязвимыми и подверженными риску серьезных сбоев в случае кибератаки. Члены правлений должны активно внедрять управление рисками кибербезопасности сверху вниз и требовать представления показателей киберрисков в финансовом и экономическом выражении.

Киберриск - одна из главных проблем, с которыми сегодня сталкиваются организации. В Докладе Всемирного экономического форума о глобальных рисках за 2022 год подчеркивается, как киберугрозы усилились из-за цифровой трансформации и растущей цифровой зависимости. Однако, согласно отчету, сбой в системе кибербезопасности по-прежнему воспринимается как критический краткосрочный риск, и компании с высокой стоимостью часто подвергаются взлому, что приводит к значительному негативному влиянию на их производительность.

Простые атаки программ-вымогателей нарушали работу глобальных компаний в течение нескольких недель, что привело к публичной публикации сотен терабайт конфиденциальных данных и даже временному падению цен на акции на целых 10%. Компании все чаще остаются уязвимыми из-за отсутствия "готовности к кибербезопасности" и, следовательно, подвержены постоянным фишинговым атакам, которые выявляют слабые места в системах, такие как украденные пароли или незащищенные серверы.

80% фирм пострадали от нарушения кибербезопасности

Недавнее исследование Acronis показало, что за последний год 80% компаний пострадали от нарушений кибербезопасности, по сравнению с 68% годом ранее. Между тем, 9% компаний подвергались по крайней мере одной кибератаке в час, что свидетельствует о текущем высоком уровне риска. Это указывает на то, что организации становятся все более уязвимыми для кибератак на свой бизнес, однако большинству из них не хватает готовности к ответным действиям, что не соответствует растущей изощренности злоумышленников.

Большинство руководителей и членов советов директоров осведомлены о ключевых глобальных киберугрозах и признают риск кибербезопасности общеорганизационным риском, но не все понимают влияние этих киберрисков и их экономические факторы. Поэтому организациям крайне важно внедрить возможности для повышения киберустойчивости и обеспечить, чтобы члены правления играли активную роль в руководстве этим изменением.

Советам директоров следует уделять приоритетное внимание киберрискам при планировании

Новое предложение Комиссии по безопасности и биржам США по управлению рисками кибербезопасности, стратегии, управлению и раскрытию информации об инцидентах подчеркивает необходимость того, чтобы члены совета директоров при планировании уделяли приоритетное внимание киберрискам. В этом контексте Всемирный экономический форум в сотрудничестве с Национальной ассоциацией корпоративных директоров и Ассоциацией интернет-безопасности опубликовал отчет о принципах управления киберрисками в Советах директоров в 2021 году.

В этом отчете описаны шесть принципов, которые могут помочь советам директоров в управлении киберрисками, а именно: кибербезопасность как стратегический фактор, способствующий бизнесу; понимание экономических факторов и последствий киберрисков; согласование управления киберрисками с потребностями бизнеса; обеспечение поддержки кибербезопасности организационной структурой; включение опыта в области кибербезопасности в управление советом директоров; и поощрение системная устойчивость и сотрудничество.

Четвертый принцип, “обеспечение того, чтобы организационный дизайн поддерживал кибербезопасность”, подчеркивает необходимость рассмотрения кибербезопасности через стратегическую призму и обеспечения создания механизмов внутреннего управления для устранения рисков. Для реализации этого принципа необходимо рассмотреть следующие ключевые вопросы:

• Кто является владельцем киберрисков в организации и какова их роль?
• Охватывает ли процесс отчетности о киберрисках все бизнес-подразделения и учитывает ли ключевые бизнес-решения?
• Каковы ключевые показатели эффективности, относящиеся к кибербезопасности, для внутренних заинтересованных сторон?

Располагая этой информацией, правление может объективно осознать и оценить финансовые и экономические последствия киберрисков по сравнению с другими общеорганизационными рисками и определить склонность организации к риску, а также установить подотчетность и ответственность за риски. После того, как подотчетность и ответственность за риски определены и согласованы во всей организации, жизненно важно разработать структуру управления кибербезопасностью, которая соответствует бизнес-стратегии организации.

Цели и задачи в области кибербезопасности должны быть определены в соответствии с общей стратегией, а команда по кибербезопасности должна постоянно взаимодействовать с представителями бизнеса, исполнительным руководством и советом директоров как на стратегическом, так и на тактическом уровне. Участие высшего руководства и совета директоров имеет решающее значение во многих отношениях, поскольку их роль заключается в активном внедрении управления рисками кибербезопасности в организации сверху вниз и требовании представления показателей киберрисков в финансовых и экономических терминах, чтобы их можно было эффективно сравнить с другими рисками и приоритетами в компании, обеспечивая при этом надзор за тем, как контролируется киберриск.

Стратегическое участие имеет жизненно важное значение для обеспечения безопасности активов и услуг

Стратегия кибербезопасности должна быть определена с помощью высокоуровневого плана того, как ваша организация будет обеспечивать безопасность своих активов и критически важных бизнес-услуг в краткосрочной и долгосрочной перспективе. Поскольку технологии и киберугрозы непредсказуемы и постоянно развиваются, важно учитывать обновления стратегии в долгосрочной перспективе.

Для разработки стратегии кибербезопасности, которая согласуется с целями организации, должны быть установлены четкие линии связи между исполнительной командой и организацией по кибербезопасности. Ключевыми моментами являются:

• Участие главного сотрудника по информационной безопасности (CISO). CISO является членом исполнительного комитета. Он/ она участвует в совещаниях и звонках руководителей, участвует в сессиях стратегического и продуктового планирования, обзорах продаж и маркетинга и т. Д., Поэтому организация безопасности знает о предстоящих изменениях и может заранее подготовиться к необходимой поддержке. Кроме того, бизнес осведомлен о ключевых рисках кибербезопасности, которые необходимо учитывать до внедрения любых инициатив по преобразованию технологий или запуску продуктов.
• Управление кибербезопасностью. Следует создать комитет по кибербезопасности с участием ключевых заинтересованных сторон во всей организации CISO для периодического обсуждения прогресса, достигнутого в течение года, анализа киберрисков и приоритетов для будущего государственного планирования с учетом важнейших элементов для достижения максимального эффекта в области управления, технологий и операций.
• Комитет по кибербезопасности. Следует создать руководящий комитет на уровне правления с участием заинтересованных сторон из CISO, главного информационного директора, главного налогового директора, аудиторских и юридических организаций. Во время этих заседаний комитета следует пересмотреть приоритеты в области безопасности, а также обсудить и повторить будущие инициативы "дорожной карты", чтобы обеспечить интеграцию во всех областях организации и соответствующее воздействие. В этом контексте отчетность имеет большое значение для того, чтобы определить, как организация может более эффективно управлять киберрисками и понимать их экономику.
• Обновления в области кибербезопасности. Служба безопасности напрямую связывается с советом директоров, чтобы сообщить о зрелости программы кибербезопасности и поднять вопросы, которые могут повлиять на акционеров или их собственную организацию в экосистеме. Для членов правления по-прежнему важно расширять свои знания о том, как решать проблемы кибербезопасности в своих организациях. Прямое общение дает возможность Совету директоров лучше понять киберриск и дает рекомендации по взаимодействию, поскольку они более полно осознают свою роль в отношении киберрисков.

Межфункциональная координация может укрепить возможности реагирования

Хотя группа безопасности часто находится на переднем крае реагирования на инциденты в области кибербезопасности, координация с другими группами, а также более широкая осведомленность в масштабах всей организации будут иметь решающее значение для укрепления возможностей реагирования. Следует реализовать многочисленные инициативы по сотрудничеству с другими департаментами:

• Обучение: Группа безопасности должна разработать учебные модули для членов совета директоров, ориентированные на предоставление базовых знаний и навыков в области кибербезопасности, необходимых для защиты конфиденциальных данных и реагирования на инциденты в области кибербезопасности. Кроме того, члены правления также должны участвовать в упражнениях на рабочем месте и симуляциях для реагирования на сценарии кибербезопасности. Эти упражнения не только позволяют членам правления лучше ориентироваться и осознавать свои обязанности во время инцидента с безопасностью, но и помогают организациям постоянно совершенствовать существующие процессы и использовать извлеченные уроки.
• Открытое общение: Команда безопасности должна создать внутренний блог или рабочее пространство для публикации обновлений проекта, объявления о предстоящих изменениях и сбора отзывов по всей организации. Команда также может использовать «Месяц кибербезопасности» для повышения более широкой осведомленности и участия в инициативах программы обеспечения безопасности.
• Модели взаимодействия: Команда безопасности должна тесно сотрудничать с технологическими и деловыми партнерами внутри организации и определять ключевые передачи процессов, ответственность и модели взаимодействия, чтобы обеспечить надлежащую интеграцию соображений риска кибербезопасности в бизнес-решения (например, оценка новых поставщиков, потенциальных приобретений, оценка функциональности нового продукта). Кроме того, следует запрашивать обратную связь по линии бизнеса для постоянного совершенствования программных инициатив в области безопасности и инвестиционных решений.

Сотрудничество - ключ к тому, чтобы быть “готовым к кибербезопасности”

Поскольку наш мир становится все более цифровым, стремление совета директоров к межфункциональному сотрудничеству в рамках всей организации позволит команде безопасности лучше соответствовать потребностям бизнеса. Для организаций крайне важно иметь процессы и структуры управления, которые поощряют коммуникацию и поддерживают реализацию инициатив по обеспечению готовности к кибербезопасности.

Кибербезопасность должна быть основным стратегическим приоритетом, а ответственность и подотчетность за деятельность по управлению рисками в области кибербезопасности должны быть приняты как внутри организации CISO, так и за ее пределами. Требуются определенные усилия, чтобы изменить существующие структуры и внедрить новые процессы, чтобы поднять разговор о рисках кибербезопасности. Это изменение должно быть поддержано советом директоров и исполнительным руководством, чтобы быть успешным:

• Для CISO необходимо создать соответствующие полномочия.
• Владельцы деятельности по управлению рисками кибербезопасности за пределами организации CISO должны быть привлечены к ответственности.
• Для эффективного управления рисками в области кибербезопасности должны быть определены стимулы, побуждающие команды бизнес-подразделений привлекать группы безопасности.
• Должны быть созданы процессы отчетности и комитеты для облегчения обмена информацией о ключевых показателях кибербезопасности, рисках и проблемах для обеспечения прозрачности.

Окончательная защита от киберугроз заключается в создании организационной культуры, которая "готова к кибербезопасности", хорошо осведомлена и готова к снижению рисков на всех уровнях своей стратегии и операций. Авторы публикации на сайте ВЭФ: Кандид Вуэст, Вице-президент по исследованиям в области киберзащиты, Acronis; Ниша Альмула, Старший менеджер по кибербезопасности, рискам и регулированию, PwC; Роман Хаген, Директор по связям с государственными органами, Европа, Acronis