За кібербезпеку відповідальне керівництво. Й ось чому
Розповідаємо про декілька кроків для керівників бізнесу, які хочуть захистити свої компанії від кібератак
Оригінал статті англійською мовою: Harvard Business Review
Разом із новинами про злами баз даних, атаки з метою вимагання й уразливість нульового дня [коли в розробників нуль днів на виправлення дефекту, а від уразливості не можна захиститися], заповнили перші сторінки видань, питання кібербезпеки чимраз частіше піднімають на засіданнях рад директорів. Адже жодна компанія не хоче стати наступним інфоповодом для ЗМІ або відправляти своїх директорів давати свідчення.
Але попри те, що кібербезпека на порядку денному в рад директорів, це не означає, що керівники розуміють, як вирішити цю проблему. Понад того, більшість керівників спеціалізуються на інших типах ризиків, і в них немає досвіду в захисті активів компанії від атак державного рівня й від високоорганізованих кіберзлочинців.
Але є й хороші новини. Існує кілька практичних кроків, які можуть зробити керівники бізнесу, щоб захистити свої організації, і для цього не потрібні знання в кіберсфері.
Допомагайте співробітникам, відповідальним за інформаційну безпеку, зрозуміти бізнес загалом
Водночас із тим як працівники або керівники відділів безпеки отримали репутацію тих, хто заганяє в кут процес виробництва та розробку продукту, встановлюючи межі технічних можливостей, їхня справжня роль полягає в допомозі бізнесу. Оскільки безпосередньо від них залежить успіх усієї роботи.
Залучаючи таких працівників до обговорення найближчих і довгострокових бізнес-пріоритетів, клієнтських питань та загальних стратегій, керівники можуть гарантувати, що план безпеки компанії не суперечить бізнес-цілям.
Зміцніть фронт захисту вашої компанії
Ідеально, коли директор із безпеки присутній на засіданнях ради директорів нарівні з головним фінансовим директором. Навіть якщо цього не відбувається, рада директорів як мінімум має проводити для них брифінг за проектами організації, щоб вони, своєю чергою, запропонували свої функційні плани щодо підтримки пріоритетів компанії.
На зустрічі з лідерами щодо безпеки, директори мають дізнатися, яким чином їхній план із кібербезпеки сприятиме досягненню однієї з цих цілей: задовільний дохід, вартість, маржа, задоволеність клієнтів, продуктивність співробітників, реалізація стратегії.
Ці поняття добре відомі членам ради та бізнес-директорам. Лідерам із безпеки може знадобиться роз’яснення, для того щоб привести їхніх функції відділів у відповідність до загальних бізнес-процесів компанії.
Переконайтеся, що питання безпеки піднімається під час обговорень нових продуктів і послуг
Найчастіше про безпеку кажуть у кінці або, того гірше, після того як недолік виявлено в продукту, який вже продається. Обговорення питань безпеки на ранніх стадіях розробки продукту призводить до більш безпечних, надійних пропозицій і допоможе запобігти витратам, суперечкам і публічній ганьбі, яка веде за собою переоснащення безпеки.
Переконайтеся в тому, що організація розробляє план навчання кібербезпеки і що кожен співробітник слідує йому
Такий план має охоплювати практичні приклади того, як інциденти з безпекою можуть відбитися на роботі організації. Такі “страшилки” не покликані поширювати тривогу, а мають трансформувати кібербезпеку з прихованої концепції у відчутний план дій, який буде зрозумілий кожному.
Заздалегідь плануйте можливі інциденти безпеки
Компаніям слід прийняти той факт, що попри їхній найсильніший комплекс захисту одного разу на них здійснять атаку. Керівники мають поцікавитися, який у компанії план відповіді на інцидент, перевірити його актуальність, переконатися що враховано непередбачені обставини, наприклад, випадки множинних інцидентів або випадки коли в небезпеці треті особи.
Також члени ради мають переконатися в тому, що всеосяжний план: маркетинг, кризові комунікації, управління ризиками та прийняття рішень одночасно може стати лавиною подій і призвести до помилок.
Але мало залучити до обговорення співробітників IT-відділу та відділу безпеки. План передбачає формування уповноваженого мультифункційного комітету з управління ризиками.
Він має охопити співробітників маркетингового та юридичного відділів для вирішення питань зв’язків із громадськістю й для узгодження стали надбанням громадськості атак із політикою держави.
Концентруйтеся на культурному аспекті не менше, ніж на технологічному
Безпека — це набагато більше, ніж просто придбання антивірусних програм та їх тестування. Крім цього, це й зміна корпоративної культури та допомога співробітникам не тільки з відділів IT й безпеки в усвідомленні їхніх обов’язків оберігати інтелектуальну власність, інформацію про клієнтів та іншу бізнес-інформацію. Вирішення цього питання вимагає повної віддачі від усієї компанії.
Ідеальний варіант — це коли рада директорів усуває перепони, що заважають організації розвивати культуру “попереджувальної безпеки”.
Без посиленої підтримки виконавчої ланки менеджменту та ради директорів компанії навряд чи вдасться розробити потужну практичну базу в питаннях кібербезпеки. Директори мають гарантувати, що операційні та капітальні видатки відповідають пріоритетам і проектам щодо зниження ризиків. Безпеку неможливо забезпечити тільки на рівні відповідного відділу.
У майбутньому обізнаність у питаннях кібербезпеки буде в переліку обов’язкових вимог для більшості керівників. А зараз управлінська ланка компаній може сміливо робити певні кроки для істотного зниження ризику кібератак.
Автор: Checkpoint
Залишити відповідь