За кибербезопасность отвечает руководство. И вот почему

Рассказываем о нескольких шагах для руководителей бизнеса, которые хотят защитить свои компании от кибератак

Оригинал статьи на английском языке: Harvard Business Review

Вместе с новостями о взломах баз данных, вымогательских атаках и уязвимостях нулевого дня [когда у разработчиков 0 дней на исправление дефекта, а от уязвимости нельзя защититься], заполнившими первые страницы новостных изданий, вопрос кибербезопасности все чаще поднимают на заседаниях советов директоров. Ведь ни одна компания не хочет стать следующим инфоповодом для СМИ или отправлять своих директоров давать показания.

Но несмотря на то, что кибербезопасность на повестке дня у советов директоров, это не значит, что руководители понимают, как разобраться с этой проблемой. Кроме всего прочего, большинство руководителей специализируются на других типах рисков, и у них нет опыта в защите активов компании от атак государственного уровня и от высокоорганизованных киберпреступников.

Но есть и хорошие новости. Существует несколько практических шагов, которые могут сделать руководители бизнеса, чтобы защитить свои организации, и для этого не нужны знания в киберсфере.

Помогайте сотрудникам, ответственным за информационную безопасность, понять бизнес в целом

Вместе с тем как сотрудники или руководители отделов безопасности получили репутацию тех, кто загоняет в угол процесс производства и разработки продукта, устанавливая границы технических возможностей, их истинная роль заключается в помощи бизнесу. Поскольку непосредственно от них зависит успех всей работы.

Вовлекая таких сотрудников в обсуждение ближайших и долгосрочных бизнес-приоритетов, клиентских вопросов и общих стратегий, руководители могут гарантировать, что план безопасности компании не противоречит бизнес-целям.

Укрепите фронт защиты вашей компании

Идеально, когда директор по безопасности присутствует на заседаниях совета директоров наравне с главным финансовым директором. Даже если этого не происходит, совет директоров как минимум должен проводить для них брифинг по проектам организации, чтобы они, в свою очередь, предложили свои функциональные планы по поддержке приоритетов компании.

На встрече с лидерами по безопасности, директора должны узнать, каким образом их план по кибербезопасности поспособствует достижению одной из этих целей: удовлетворительный доход, стоимость, маржа,  удовлетворенность клиентов, производительность сотрудников, реализация стратегии.

Эти понятия хорошо известны членам совета и бизнес-директорам. Лидерам по безопасности может понадобится разъяснение, для того чтобы привести функции их отделов в соответствие с общими бизнес-операциями компании.

Убедитесь, что вопрос безопасности поднимается на обсуждениях новых продуктов и услуг

Чаще всего о безопасности говорят в конце или, того хуже, после того как недостаток обнаружен в продукте, который уже продается. Обсуждение вопросов безопасности на ранних стадиях разработки продукта приводит к более безопасным надежным предложениям и поможет предотвратить расходы, споры и публичный позор, который ведет за собой переоснащение безопасности.

Убедитесь в том, что организация разрабатывает план обучения кибербезопасности и что каждый сотрудник следует ему

Такой план должен включать в себя практические примеры того, как инциденты с безопасностью могут отразиться на работе организации. Такие «страшилки» не призваны распространять тревогу, а должны трансформировать кибербезопасность из скрытой концепции в осязаемый план действий, который будет понятен каждому.

Заранее планируйте возможные инциденты безопасности

Компании должны принять тот факт, что, несмотря на их сильнейший комплекс защиты, однажды они подвергнутся атаке. Руководители должен поинтересоваться, какой у компании план ответа на инцидент, проверить его актуальность, убедиться что учтены непредвиденные обстоятельства, например, случаи множественных инцидентов или случаи когда опасности подвергаются третьи лица.

Также члены совета должны убедиться в том, что план всеобъемлющий: маркетинг, кризисные коммуникации, управление рисками и принятие решений одновременно может стать лавиной событий и привести к ошибкам.

Но привлечения к обсуждению сотрудников IT-отдела и отдела безопасности мало. План предполагает формирование уполномоченного мультифункционального комитета по управлению рисками.

Он должен включать в себя сотрудников маркетингового и юридического отделов для решения вопросов связей с общественностью и для согласования ставшими достоянием общественности атак с политикой государства.

Концентрируйтесь на культурном аспекте не меньше, чем на технологическом

Безопасность — это гораздо больше, чем просто приобретение антивирусных программ и их тестирование. Кроме того, это и изменение корпоративной культуры и помощь сотрудникам не только из отделов IT и безопасности в осознании их обязанности оберегать интеллектуальную собственность, информацию о клиентах и прочую бизнес-информацию. Решение этого вопроса требует полной отдачи от всей компании.

Идеальный вариант — это когда совет директоров устраняет преграды, мешающие организации развивать культуру «упреждающей безопасности».

Без усиленной поддержки исполнительного звена менеджмента и совета директоров компании вряд ли удастся разработать мощную практическую базу в вопросах кибербезопасности. Директора должны гарантировать, что операционные и капитальные расходы соответствуют приоритетам и проектам по снижению рисков. Безопасность невозможно обеспечить только на уровне соответствующего отдела.

В будущем осведомленность в вопросах кибербезопасности будет в списке обязательных требований для большинства руководителей. А сейчас управленческое звено компаний может смело предпринять определенные шаги для существенного снижения риска кибератак.

Оригинал статьи на английском языке

Комментарии

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *