Служба кибербезопасности — это не команда бэк-офиса, которую никто не видит и не слышит. Чтобы по-настоящему защитить компанию, кибербезопасность затрагивает каждый аспект бизнеса, и она начинается сверху.
На виртуальной конференции ISACA 22 февраля 2024 года я провел сессию о том, как директора по информационной безопасности могут «атаковать мышление совета директоров», чтобы лучше согласовать кибербезопасность с управлением. Без фундаментальной поддержки со стороны совета директоров предприятия остаются уязвимыми для кибератак с разрушительными последствиями. Если кибербезопасность не является приоритетом, кибер-командам будет выделяться меньше ресурсов, что в конечном итоге окажется малонаселенным и растянутым во времени. Эта более слабая общая защита, в свою очередь, открывает зону атак для киберпреступников – многие хакеры даже не хотят заявлять о себе, а скорее проникают в систему и незаметно перекачивают данные в течение многих лет. Меньшее количество ресурсов означает, что киберкоманды менее активны и более реактивны, тогда как решающим элементом успеха является быть на шаг впереди злоумышленников.
Советы директоров не несут ответственности в случае нарушения; их привлекают к ответственности, если они не задают вопросы или не понимают или не проверяют ответы должным образом. Вот почему первая задача директора по информационной безопасности должна состоять в том, чтобы задавать правильные вопросы.
Содержание
Стремитесь к ясности в самой кибербезопасности
Организации должны иметь четкое представление о своем определении кибербезопасности. По мере развития технологий меняются и термины, которые мы используем, и то, как мы их понимаем, например, когда «ИТ-безопасность» постепенно превратилась в «информационную безопасность», затем в «кибербезопасность», а теперь стала частью более широкого понятия «доверие». Члены совета директоров должны иметь представление обо всех сферах бизнеса и о том, как кибервозможности и угрозы могут на них повлиять, а не просто знать одну конкретную область. Без этого люди склонны делать предположения, не понимая должным образом, что имеется в виду. Если кибербезопасность не понимается на высшем уровне, она может быть лишена приоритета или неверно истолкована. Задача директора по информационной безопасности заключается в переводе вопросов кибербезопасности в бизнес-термины, которые делают проблему известной, понятной и ощутимой для членов совета директоров.
Пусть члены правления смогут спокойно задавать вопросы, даже если у них нет ответов.
Советы директоров не «делают» — они «направляют». Вопросы, которые члены совета директоров выносят на обсуждение, имеют жизненно важное значение для бизнеса, и им не следует уклоняться от вопросов кибербезопасности, потому что у них нет правильных ответов или решений. От них этого не ждут. Пока правление задает правильные вопросы, киберэксперты будут иметь ответы. Ключом является любопытство и изучение вопросов «почему» и «что», а не «как». Если эти проблемы будут решены, бизнес окажется в лучшем положении.
Члены совета директоров заботятся о надзоре, рисках и культуре организации и должны отделять управление от управленческих обязанностей. Кибербезопасность — это не новая обязанность совета директоров, это тема, которую необходимо учитывать при выполнении основных обязанностей.
Например, советы директоров должны создавать условия, которые позволяют бизнесу добиться успеха. По этой причине они обязаны проявлять осторожность и обеспечивать надлежащее управление кибербезопасностью. Они также должны предотвращать убытки и смягчать условия, а также обеспечивать управление киберрисками в соответствии с утвержденным риск-аппетитом. Советы директоров должны обеспечивать стратегическое направление, которое приносит пользу, поэтому необходимо внедрить политику и процедуры для управления киберрисками. Наконец, советы директоров не должны вмешиваться в управленческие решения или операционные вопросы и поэтому должны сосредоточиться на вопросах, связанных с кибербезопасностью, которые они могут задать управленческой команде.
Продемонстрировать, что в основе кибербезопасности лежат люди, а не технологии.
Когда дело доходит до кибербезопасности, очень важно думать как враг и защищать себя с помощью тех же технологий, которые используют хакеры. В эпоху цифровых технологий технологии стали демократизированными и получили широкий доступ, и поэтому инвестиции в киберпространство должны осуществляться не только в технологии, но и в процессы и людей. Киберинвестиции никогда не должны быть выбором между технологиями и людьми, но и тем, и другим: речь идет не о том, чтобы люди защищались от технологий, а об использовании технологий для защиты от гнусного использования их другими.
В целом ответственность за кибербезопасность носит межсекционный характер – это нечто среднее между повседневными обязанностями совета директоров и более широкими задачами, связанными с надзором за бизнесом, культурой и рисками. Совет директоров не может нести прямую ответственность в случае нарушения. Но они несут ответственность, если не задают правильные вопросы или не тратят время на то, чтобы правильно понять, чего от них ждут.
Бруно Соареш — президент лиссабонского отделения ISACA.
