Все компании, подключенные к Интернету, уязвимы для кибератак. И потенциальные потери значительны. Согласно опросу, проведенному для BAE Systems среди 300 менеджеров в сфере финансовых услуг, страхования и ИТ/технологий в США, 85% респондентов назвали ущерб репутации наиболее заметным результатом утечки данных, при этом 74 % назвали юридическую ответственность второй по величине проблемой.
Ответственность за утечку данных, затрагивающую клиентов, возлагается непосредственно на высшее руководство. Руководителям необходимо лично знать, насколько сильна киберзащита их компании, а также ожидаемые реакции на атаки или взломы. Но согласно опросу, 40% признались, что им не хватает четкого понимания протоколов кибербезопасности в своих организациях. Это должно стать срочным сигналом для руководителей о том, что к кибербезопасности следует серьезно относиться во всей организации.
Руководителям следует начать с понимания того, какие протоколы у них есть в настоящее время, а в чем они не соответствуют действительности. Ежегодная оценка безопасности считается лучшей практикой для предотвращения утечки данных. При правильном выполнении оценка безопасности выявляет остаточный риск — количество и масштаб атак, которые могут пройти. Если остаточный риск приемлем, то ежегодного анализа может быть достаточно. Однако если остаточный риск вызывает беспокойство, то полугодового или даже ежеквартального анализа может быть недостаточно. Это, конечно, смещает дискуссию к тому, какой уровень остаточного риска является приемлемым, в зависимости от вашей компании.
Во многих отношениях эта оценка рисков отражает новую реальность кибербезопасности. В быстро меняющемся, гиперсвязанном мире подход должен быть динамичным, а не статическим. Например, динамический подход заключается в том, чтобы запланировать две ежегодные проверки с участием двух разных поставщиков и разнести их на шесть месяцев. Таким образом, компания может вдвое сократить среднее время, в течение которого успешная атака остается незамеченной, вместо того, чтобы полагаться на ежегодные проверки. Другой альтернативой является расширение этой модели, чтобы оценки проводились ежеквартально или «по запросу» в ответ на заранее определенные события или даже выборочные проверки на предмет известных угроз.
Но обзоров и оценок недостаточно. Лучшим и наиболее эффективным способом для высшего руководства гарантировать изменения является установление прочных рабочих отношений с директором по информационной безопасности (CISO). Сегодня директора по информационной безопасности призваны помочь руководителям предприятий понять киберриски и внедрить правильные меры безопасности, одновременно продвигая культуру защиты. Наше исследование показало, что девять из 10 директоров по информационной безопасности сейчас напрямую связаны с высшим руководством своей компании, а половина из них непосредственно входит в эту команду. Усиление роли директора по информационной безопасности в реализации этой инициативы является обнадеживающей тенденцией, но руководителям необходимо активно привлекать этих директоров по информационной безопасности, чтобы увидеть реальные результаты во всей организации.
В то время как директор по информационной безопасности будет выявлять риски и определять приоритетность протоколов безопасности, старшие руководители должны понимать и выполнять процедуры во всем бизнесе — вплоть до наиболее уязвимых точек входа для киберпреступников. Руководители должны спонсировать оценку угроз, проводимую директором по информационной безопасности, и совместно анализировать результаты. Директора по информационной безопасности следует привлекать к участию в новых бизнес-инициативах на ранних стадиях, чтобы обеспечить безопасность, а не привязывать ее потом. Фактически, лучшая практика — заставить директора по информационной безопасности работать с каждой командой, чтобы определить способы достижения целей наиболее безопасным способом, а затем руководители должны привлечь своих людей к ответственности за риски и недостатки, выявленные директором по информационной безопасности.
Более того, руководители должны способствовать повышению важности безопасности внутри организации, начиная с лучшего образования и обучения. Компаниям следует чаще обучать сотрудников среднего и младшего звена вопросам кибербезопасности, чтобы укрепить защитное поведение. Наше исследование показало, что только 38% компаний проводят обучение ежеквартально или раз в два года; остальные тренируются ежегодно или даже реже. Кроме того, в большинстве случаев обучение дает сотрудникам только 25% шансов успешно распознать кибератаку через месяц. Руководители должны сделать своей прерогативой улучшение этих программ обучения, чтобы снизить вероятность успешного проникновения за пределы одного месяца. Обучение должно включать ролевые игры, сценарии, имитирующие атаки из реальной жизни, а также тестирование для оценки эффективности.
Защита от атак теперь является неотъемлемой частью должностных обязанностей руководителей высшего звена. Уже недостаточно оставлять кибербезопасность на усмотрение ежегодных проверок или одного директора по информационной безопасности. Старшие руководители должны понимать, какие процедуры существуют, и обеспечивать, чтобы все в организации понимали протокол и несли ответственность. Но прежде всего им необходимо установить правильное партнерство с директором по информационной безопасности, чтобы безопасность была частью каждой инициативы компании, а не второстепенной мыслью.