Советы директоров ведут неправильные разговоры о кибербезопасности
Советы директоров, которые не справляются со своей ролью в обеспечении надзора за кибербезопасностью, создают проблему безопасности для своих организаций. Даже если советы директоров говорят, что кибербезопасность является приоритетом, им предстоит пройти долгий путь, чтобы помочь своим организациям стать устойчивыми к кибератакам. Не уделяя внимания устойчивости, советы директоров подводят свои компании.
Было опрошено 600 членов советов директоров об их отношении и деятельности в области кибербезопасности. Исследование показало, что, несмотря на инвестиции времени и денег, большинство директоров (65%) по-прежнему считают, что их организации подвержены риску существенной кибератаки в течение следующих 12 месяцев, и почти половина считает, что они не готовы противостоять целенаправленной атаке. К сожалению, растущее осознание киберриска не способствует повышению уровня готовности. В этой статье будет подробно описано несколько способов, с помощью которых компании могут начать повышать осведомленность о кибербезопасности.
Совету директоров не хватает взаимодействия с CISO
Только 69% членов совета директоров общаются лично со своими руководителями по информационной безопасности (CISO). Менее половины (47%) членов совета директоров регулярно взаимодействуют со своими CISO, а почти треть из них видят своих CISO только на презентациях совета директоров. Это означает, что директора и руководители служб безопасности общаются недостаточно, чтобы вести содержательный диалог о приоритетах и стратегиях кибербезопасности. Кроме того, исследование показало, что в то время как 65% членов совета директоров считают, что их организация подвержена риску существенной кибератаки, только 48% CISO разделяют это мнение. Этот коммуникационный разрыв и несогласованность действий совета директоров и CISO препятствует прогрессу в области кибербезопасности.
Наши результаты показывают, что разрыв между CISO и советом директоров усугубляется недостотком их общения на личном уровне (они не проводят достаточно времени вместе, чтобы о узнать друг друга, оценить идеи и расставить приоритеты). Этому также способствует то, что CISO трудно перевести технический жаргон на язык бизнеса, например, риск, репутация и устойчивость.
Советы директоров сосредоточены на защите, в то время как им необходимо сосредоточиться на устойчивости
Несмотря на понимание высокого риска, исследование показало, что 76% членов советов директоров считают, что они сделали адекватные инвестиции в киберзащиту. Более того, 87% ожидают, что их бюджеты на кибербезопасность вырастут в ближайшие 12 месяцев.
Однако их инвестиции могут быть направлены не в те области, в которые нужно. На типичном заседании совета директоров презентации по кибербезопасности обычно посвящены угрозам и действиям/технологиям, которые компания применяет для защиты от них. Например, на многих заседаниях совета директоров основной темой является то, как часто компания проводит фишинговый тест и каковы статистические результаты. Это неправильная перспектива для надзора со стороны совета директоров. Мы знаем, что не можем быть полностью защищены, независимо от того, сколько денег мы инвестируем в технологии или программы по предотвращению кибератак. Хотя расходование ресурсов на защиту наших активов имеет решающее значение, ограничение обсуждения только защитой настраивает нас на катастрофу.
Вместо этого разговор должен быть сосредоточен на устойчивости. В целях планирования мы должны предположить, что мы столкнемся с кибератакой того или иного типа, и подготовить наши организации к реагированию и восстановлению с минимальным ущербом, затратами и влиянием на репутацию. Например, вместо того, чтобы подробно рассказывать на заседании совета директоров о том, как наша организация подготовлена к реагированию на инцидент, мы должны сосредоточиться на том, каким может быть самый большой риск и как мы готовы быстро восстановить ущерб в случае возникновения такой ситуации.
Чтобы переключить внимание на устойчивость как главную цель кибербезопасности, директора могут попросить своих операционных лидеров создать видение того, как компания будет реагировать и восстанавливаться в случае атаки. Минимизация возможности успешной кибератаки в первую очередь должна быть лишь вторичной целью.
Советы директоров рассматривают кибербезопасность как техническую тему, но она стала организационным и стратегическим требованием
Только 67% членов советов директоров считают, что человеческая ошибка является их самой большой уязвимостью в сфере кибербезопасности, хотя результаты Всемирного экономического форума показывают, что на человеческую ошибку приходится 95% инцидентов в сфере кибербезопасности. Это может быть показателем того, что некоторые советы директоров не видят организационного риска, с которым они сталкиваются. Кроме того, половина участников опроса больше всего ценят опыт CISO в области кибербезопасности, за которым следуют технические знания (44%) и управление рисками (38%). Это говорит о том, что, хотя темы кибербезопасности, возможно, и попали в повестку дня, совет директоров по-прежнему рассматривает их как технические вопросы.
Когда советы директоров рассматривают кибербезопасность только как техническую тему, она становится слишком оперативной темой, чтобы уделять ей внимание на своих заседаниях. Время на заседаниях совета ограничено, поэтому трудно охватить все нюансы, необходимые для надлежащего надзора. Директора могут стесняться задавать сложные вопросы, поскольку считают, что недостаточно разбираются в технических понятиях, чтобы правильно сформулировать вопрос или даже понять ответ. Если рассматривать кибербезопасность как организационную проблему, то обсуждение превращается из технической в управленческую задачу. Когда кибербезопасность рассматривается как стратегический приоритет организации, она становится актуальной для обсуждения на уровне совета директоров.
Советы директоров должны задавать такие вопросы, как “Каков технический риск для нашего бизнеса от потенциальных инцидентов кибербезопасности?”. “Что мы делаем для того, чтобы смягчить любой ущерб в случае реализации этого риска?”. “Каков организационный риск от потенциальных кибер-инцидентов и что мы делаем для быстрого восстановления от последствий?”. И “Каков риск цепи поставок от потенциальных инцидентов кибербезопасности и что мы делаем для того, чтобы не потерять ни дня производства?”.
Состав большинства советов директоров сегодня создает дополнительную уязвимость, в то время как мог бы создать более сильный надзор
Многие советы директоров состоят из очень опытных руководителей, которые имеют большой опыт в операционной деятельности, финансах, продажах и в своих отраслях. Но лишь немногие из них обладают знаниями или опытом в области кибербезопасности. В 2022 году SEC предложила более четкие рекомендации по управлению рисками кибербезопасности, руководству и раскрытию информации для публичных компаний, и ожидается, что эти предложения станут обязательными. Это означает, что советы директоров должны осуществлять более четкий надзор за рисками кибербезопасности и включать в свой состав специалистов по кибербезопасности.
Многие бывшие руководители были лидерами до появления нынешней среды кибербезопасности и могут не привнести в советы директоров ни опыта, ни даже подхода к получению такого опыта. Не то чтобы они были неподходящими руководителями для работы в качестве директоров без такого опыта, но совет директоров должен развивать этот опыт в целом. Директора должны приносить в зал заседаний не только технические знания. Они также должны понимать окружающую среду, финансовые структуры, компромиссы и портфель бизнес-рисков. Поиск новых членов совета директоров, обладающих необходимым набором знаний в области кибербезопасности и деловой хватки, является непростой задачей.
Чтобы привнести опыт в области кибербезопасности в зал заседаний совета директоров, может потребоваться изменение состава совета директоров. Членам совета директоров, возможно, потребуется приобрести опыт в области кибербезопасности путем частых бесед о рисках, связанных с кибербезопасностью, программ обучения и развития, а также добавить коллег с радикально отличным деловым и профессиональным опытом, чем нынешние члены совета директоров.
Неспособность показать, что кибербезопасность является приоритетом для совета директоров, создает нежелательный посыл
Исследование показало, что почти четверть советов директоров не рассматривают кибербезопасность как приоритет, а многие даже не обсуждают эту тему регулярно. Некоторые советы директоров проводят только одну презентацию по обновлению кибербезопасности в год, и эта презентация обычно сосредоточена на том, насколько защищена организация. Этого недостаточно.
Сделать кибербезопасность приоритетом для совета директоров – это очень важно, недостаточно просто ежегодного обновления. Это значит говорить об этом на каждом заседании совета директоров, получать обновления между заседаниями, задавать вопросы, выходящие за рамки представленной информации, и проявлять личный интерес (например, самим быть защищенными, поднимать кибервопросы и/или делиться историями, делать героев из тех, кто демонстрирует поведение, которое хочет видеть совет директоров, и т.д.).
Например, какой посыл будет передан руководству организации, если на каждом заседании совета директоров члены совета будут отмечать образцового “героя”, который лично сделал что-то для повышения устойчивости/безопасности компании? С другой стороны, если совет директоров не активизирует свою игру, показывая, насколько важна для них кибербезопасность, намеренно или нет, они дают понять, что кибербезопасность не является приоритетом.
Личные действия директоров посылают сигналы старшим руководителям. Делая кибербезопасность личным приоритетом посредством действий и вложения времени и внимания, директора показывают, насколько она важна.
Советы директоров знают, что они должны действовать по-другому. Рекомендации SEC закрепят эти знания. Средства СМИ все чаще освещают последствия плохой практики кибербезопасности. Члены советов директоров, имеющие опыт работы в области кибербезопасности, пытаются привлечь к этому внимание своих коллег. А члены совета директоров хотят обеспечить надзор, хотя у них просто нет правильных вопросов, которые можно задать. Советам директоров необходимо обсудить риски, связанные с кибербезопасностью организации, и оценить планы по управлению этими рисками. После правильной постановки вопроса о сохранении устойчивости компании они смогут сделать следующий шаг к обеспечению надлежащего надзора за кибербезопасностью.
