Кибербезопасность. Что руководителям нужно знать и делать
Шрифт:
Ни у одной компании нет ресурсов, чтобы решить все технологические проблемы в этой области, да и не все исправления одинаково ценны. Только определив ключевые процессы вашего бизнеса и проанализировав, как киберугрозы могут им навредить, вы расставите приоритеты грамотно и сумеете принять меры. Кроме того, когда специалисты по кибербезопасности вникнут, как именно функционирует ваш бизнес, они тоже смогут действовать правильнее. В частности, им удастся избежать решений и действий, которые, какими бы благими намерениями ни диктовались, не снижают рисков, а порой, наоборот, увеличивают их и ломают отлаженные бизнес-процессы.
Специфика технологий кибербезопасности
Только начав с оценки критически важной бизнес-деятельности, а не с технологий, ваша компания поймет, как выстроить адекватную систему кибербезопасности: какие программы купить и какие действия предпринять. Излишний фокус на технологиях также отвлекает внимание от других факторов, влияющих на эффективность продуктов кибербезопасности в значительно большей степени, чем сложность их функционала. Сюда относятся мотивация, стимулы и приоритеты людей, которые пользуются этими продуктами или играют иную роль в защите компании.
Мы не раз сталкивались с ситуациями, когда, например, сотрудники сознательно обходили меры безопасности, мешающие им работать. Иногда мы также наблюдали, как специалисты ослабляли киберзащиту, чтобы избежать дополнительной нагрузки и давления коллег: высокий уровень кибербезопасности вызывал ложные тревоги или нарушал бизнес-процессы. То, насколько эффективно работает команда кибербезопасности, зависит от ее места в структуре компании. Если у руководства другие приоритеты, сотрудники, отвечающие за борьбу с киберугрозами, могут не получить необходимого финансирования и полномочий.
Если компания собирается совершенствовать киберзащиту, необходим правильный катализатор – участие руководства, ваше участие в том числе. Мы считаем, что в основе многих проблем кибербезопасности лежат слабые стороны корпоративного управления, а значит, повысить его эффективность – лучший способ нивелировать риски.
Управление кибербезопасностью начинается «сверху», с совета директоров и топ-менеджмента. Отсюда оно распространяется на всю организацию, что влечет за собой как смещение ответственности (от технических специалистов к высшему руководству), так и смену угла зрения (с технологий на бизнес, его процессы, стратегию и крупные ставки, а также риски, вызванные кибератаками).
Вы представляете ключевые интересы компании в долгосрочной перспективе. Вы отвечаете за ее состояние, развитие и рост. У вас есть полномочия, чтобы инициировать перемены в общей стратегии кибербезопасности. Вы можете вмешаться там, где не справляются рыночные механизмы и не помогают правительственные постановления.
Многие директора говорили нам, что кибербезопасность – сфера сложная, если не непостижимая. Они признавались, что принимают инвестиционные решения, не опираясь на надежные данные и не до конца понимая суть тех или иных технологий. Многие считают, что кривая обучаемости в этой области слишком крута; другие рассказывают, что не знают, какие вопросы задавать и как оценивать ответы. Часто руководству приходится полагаться на пространные
Так не должно быть, но вы можете улучшить ситуацию, просто выполняя свои обязанности по управлению и контролю. Надзор за кибербезопасностью в чем-то схож с «эффектом наблюдателя» в квантовой физике, когда наблюдение за событием влияет на его результат. Ваши запросы мотивируют компанию обращать внимание на соответствующие факторы и процессы и проводить анализ, до которого в противном случае не дошли бы руки.
Взяв на себя ответственность за кибербезопасность, вы не должны нести ее как бремя. Несмотря на расхожее мнение, что это сложная для понимания сфера, наш опыт показывает: она – удел не только технических гениев. Хотя погружение в вопрос, безусловно, важно, для эффективного управления и контроля вам не нужно глубоко разбираться в проблемах кибербезопасности. Получение соответствующего образования даст ограниченные преимущества, отнимет много времени – и не факт, что поможет на практике. А вот в ходе привычной деятельности в совете директоров вы точно приобретете необходимые знания.
Чтобы помочь вам, мы разработали руководство по стратегическому управлению в цифровой сфере. Наша система включает четыре базовых принципа, три ключевые задачи и несколько памяток-помощников. Принципы помогут вам сориентироваться при обсуждении вопросов кибербезопасности и принятии решений. Задачи касаются наиболее важных действий, которые компания должна предпринять, и дают основу для контроля. Памятки содержат ряд вопросов-якорей, облегчающих исполнение ваших надзорных функций. Внедрив эту систему цифрового управления, вы станете лидером в области кибербезопасности и научитесь ставить перед коллегами правильные вопросы, а также интерпретировать информацию, которую они вам предоставляют.
• Если вы не понимаете, значит, вам плохо объяснили. Руководство и сотрудники вашего отдела кибербезопасности обязаны предоставлять вам материалы и отчеты в форме, доступной пониманию неспециалистов.
• На кону всегда бизнес. Все вопросы кибербезопасности начинаются и заканчиваются проблемами бизнеса и рисками, связанными с его процессами и стратегией, а не с компьютерами и их уязвимостями.
• Кибербезопасность должна быть у всех на слуху. Рабочие процессы компании, ее деятельность и структура – все должно быть неотрывно от заботы о кибербезопасности. Выводите ее из тени, она – не просто часть чьего-то функционала.
• Не забывайте о мотивации. Знайте, чего хотят ваши сотрудники. Правильно мотивируйте их. Пусть они тоже будут заинтересованы в заботе о кибербезопасности.
Управление киберрисками
Это наиболее важная задача; все остальные опираются на нее и зависят от четкого понимания последствий кибератак. Эффективное управление киберрисками требует грамотной оценки взаимосвязей между наиболее значимыми бизнес-рисками для компании, типами кибератак, которые могут их вызвать, и мерами, способными предотвратить или минимизировать эти риски. Эффективный контроль включает выявление и учет всех нетехнических факторов, которые могут свести на нет даже самые мощные технологии.