Руководители подразделений информационной безопасности (ИБ), которые решат использовать принцип встроенной безопасности (SbD) и будут способствовать его активному внедрению, могут стать новаторами в своей сфере.
Осознавая постоянно увеличивающиеся риски кибербезопасности, многие организации принимают оборонительную позицию и упускают возможность добиться конкурентного преимущества, сделав задачи повышения кибербезопасности и конфиденциальности информации своими стратегическими приоритетами.
Чтобы осуществить качественный переход к принципуSbD, руководителям ИБ необходимо четко представлять, с какими проблемами ежедневно сталкиваются их организации и какие изменения происходят на рынке. Все сотрудники без исключения, начиная с высшего руководства и заканчивая рядовыми специалистами, также должны уделять должное внимание вопросам кибербезопасности.
Переход к принципу SbD – задача, которую следует решать сообща: руководители подразделений ИБ должны активнее работать с представителями всех бизнес-направлений, которые, в свою очередь, равно как и члены совета директоров и руководители высшего звена, должны налаживать более тесное сотрудничество со службой ИБ. Только так ИБ сможет стать локомотивом трансформации.
В последнем глобальном исследовании EY по информационной безопасности мы анализируем, как меняется роль службы информационной безопасности с помощью трех составляющих:
1. Слабая коммуникация в организации
Согласно исследованию, атаки со стороны хактивистов являются второй по распространенности причиной утечек данных. Рост числа подобного рода атак свидетельствует о том, что специалистам в области кибербезопасности необходимо глубже понимать бизнес-среду своей организации. Отсутствие надлежащего взаимодействия между руководителями ИБ и руководителями других подразделений неминуемо приведет к тому, что последние будут принимать решения без учета мнений или требований со стороны ИБ, например, самостоятельно запускать новые продукты или услуги, которые могут нести в себе новые киберриски, которым будет подвержена организация.
Как показывают первые результаты международного опроса членов советов директоров по рискам, проведенного EY, перспективные технологии несут в себе наибольшие стратегические возможности для организаций. Стремясь ими воспользоваться, многие компании в корне пересматривают свою технологическую базу, что требует еще более тесного взаимодействия между службой ИБ, советом директоров, высшим руководством и представителями различных подразделений. Слаженная работа всех сторон позволит заблаговременно учитывать риски кибербезопасности при выработке новых бизнес-инициатив, что является одним из проявлений культуры встроенной безопасности.
· Масштабы и количество угроз в области кибербезопасности и защиты конфиденциальных данных растут. По данным международного опроса членов советов директоров по рискам, проведенного EY, за прошедший год существенные инциденты имели место в шести из десяти организаций (59%), а представители 48% советов директоров полагают, что в течение ближайших 12 месяцев кибератаки и утечки данных будут оказывать весьма ощутимое влияние на деятельность их организаций. Почти в каждом пятом случае (21%) атаки исходят от хактивистов – технически подкованных злоумышленников, преследующих те или иные политические или социальные цели. По своей активности они уступают лишь организованным преступным группировкам (23%).
· Всего 36% организаций отмечают, что вопросы кибербезопасности рассматриваются уже на этапе планирования новой бизнес-инициативы.
· Инвестиции в кибербезопасность в первую очередь ориентированы на защиту, а не на инновации и трансформацию: в рамках новых инициатив 77% средств направляется на управление рисками или соблюдение нормативных требований, в то время как имеющимся возможностям почти не уделяется внимания.
· По словам каждого пятого респондента, на поддержку новых инициатив их организации тратят не более 5% бюджета на кибербезопасность.
2. Укрепление отношений между подразделениями
Руководителям службы ИБ необходимо теснее общаться со своими коллегами из других подразделений, включая отделы маркетинга, управления стратегией и продаж. Это позволит повысить значимость кибербезопасности в глазах бизнеса и воплотить в жизнь принцип SbD.
Укрепление взаимодействия с другими подразделениями должно стать приоритетной задачей, при этом службе ИБ также необходимо уделять больше внимания сотрудничеству как с советом директоров, так и с исполнительным руководством высшего и среднего звена.
· По словам 74% респондентов, у службы ИБ либо натянутые или в лучшем случае нейтральные отношения с отделом маркетинга, либо же они вообще никак между собой не взаимодействуют. 59% респондентов отметили слабую коммуникацию отдела ИБ с другими подразделениями. Трения у специалистов в области кибербезопасности присутствуют даже в отношениях с финансовой службой, которая утверждает их бюджет: о нехватке средств заявили 57% участников опроса.
· Около половины респондентов (48%) указывают на то, что у совета директоров их организации пока нет полного представления о киберрисках, а 43% заявляют о том, что совет директоров не вполне осознает ценность службы ИБ и ее потребности.
· Согласно результатам международного опроса членов советов директоров по рискам, проведенного EY, у последних отсутствует уверенность в надлежащей защите от рисков: не более половины опрошенных заявили о том, что они более или менее уверены в кибербезопасности своей организации.
· Лишь 54% организаций регулярно выносят вопросы кибербезопасности на рассмотрение совета директоров.
· В шести случаях из десяти организации не могут дать совету директоров обоснование эффективности расходования средств на кибербезопасность.
3. Руководитель ИБ – главное звено в процессе трансформации
Руководитель ИБ может стать основным действующим лицом процесса трансформации, выстраивая прочные отношения с другими подразделениями и советом директоров, хорошо разбираясь в бизнес-задачах своей организации, а также имея широкие возможности по упреждению возникающих киберугроз и рисков, связанных с ними.
Для этого надо по-новому взглянуть на привычный ход вещей, а также обладать необходимыми навыками в части общения, сотрудничества и ведения переговоров. Лидерами станут те руководители, которые не отвергают новые инициативы и готовы их конструктивно рассматривать.
· Лишь 7% организаций считают, что их служба ИБ способствует внедрению инноваций, большинство же полагает, что она ориентирована на соблюдение нормативных требований и чрезмерно осторожна.
· В качестве главной причины выделения дополнительных средств около половины респондентов (48%) назвали стремление снизить риск, 29% – необходимость соблюдать нормативные требования и лишь 9% – реализацию новых инициатив.
В шести случаях из десяти в организациях отсутствует позиция руководителя службы ИБ, который бы входил в состав совета директоров или исполнительного руководства.
Краткие рекомендации EY
Как показывают результаты нашего последнего исследования, сегодня существует реальная возможность придать кибербезопасности качественно новое содержание, сделав ее важнейшей составляющей трансформации бизнеса и инновационного развития. Это потребует совместных усилий со стороны совета директоров, высшего руководства, руководителей ИБ и директоров подразделений по следующим направлениям:
1. Превращение кибербезопасности в ключевой элемент цифровой трансформации: учет аспектов кибербезопасности на этапе планирования любой новой инициативы. Грамотное использование подхода на основе принципа SbD в целях эффективного управления рисками, связанными с трансформацией, а также своевременной разработки необходимых продуктов или услуг.
2. Выстраивание доверительных отношений с каждым подразделением: совместный анализ ключевых бизнес-процессов для понимания того, какое влияние могут оказать на них киберриски и каким образом служба ИБ может помочь повысить эффективность работы рассматриваемого подразделения.
3. Внедрение оптимальных структур управления: разработка КПЭ и ключевых индикаторов риска, которые позволят перейти к риск-ориентированному подходу при подготовке отчетности для исполнительного руководства и совета директоров.
4. Повышение заинтересованности со стороны совета директоров: умение подобрать нужные слова и количественно оценивать угрозы, чтобы эффективно доводить информацию о киберрисках до сведения совета директоров.
Оценка эффективности службы ИБ в целях развития новых компетенций руководящего состава: определение сильных и слабых сторон службы ИБ в целях получения представления о том, какие именно навыки и как нужно развивать.
Принцип Security by Design неразрывно связан с процессом управления рисками кибербезопасности. Несмотря на то, что развитие автоматизации бизнес-процессов и сервисов делает организации все более и более подверженными увеличению киберрисков, далеко не каждая компания в СНГ имеет эффективную систему управления рисками кибербезопасности, которая достигает своих целей. К сожалению, многие организации, особенно банковского сектора, которые обязаны управлять киберрисками, имеют эффективный процесс лишь «на бумаге», что помогает соблюдать требования регуляторов о наличии системы управления рисками, однако это не позволяет реально управлять рисками, что делает использование принципа SbD крайне затруднительным.
Построение деловых отношений как с членами совета директоров и акционерами, так и руководителями ИТ и бизнес-подразделений; умение обосновывать инвестиции в ИБ; обладание навыками эффективных переговоров – вот далеко не полный перечень знаний, которых недостает современным руководителям служб ИБ в СНГ. При этом, как правило, отмечается высокий уровень их технической подготовки в области ИБ, уверенное знание отраслевых и международных стандартов, регуляторных требований, а также знание рынка современных средств защиты. Результатом такой комбинации навыков является недооценка роли ИБ в организации, создание ложного впечатления, что ИБ не важна при развитии бизнеса, а подход SbD только тормозит внедрение инноваций.
Целью внедрения SbD не должно являться получение незамедлительной, прямой денежной выгоды. Использование данного подхода поможет организации обладать необходимыми возможностями (capabilities) в области кибербезопасности и способствует своевременному противостоянию вероятным последствиям реализации инцидентов в области ИБ. Руководителям и лицам, принимающим стратегические решения в организациях, необходимо понимать, что своевременные и умные инвестиции в кибербезопасность позволяют быть готовыми к реальным киберугрозам и являются неотъемлемой частью естественного «взросления» организации.
Поскольку одним из ключевых факторов достижения успеха любой трансформации являются люди, то руководителям организаций необходимо переосмыслить подход по решению задач кибербезопасности, а директору ИБ научиться говорить на языке бизнеса. Пора принять тот факт, что рано или поздно кибератака на организацию произойдет, и если не быть готовым, то последствия могут быть катастрофическими. При принятии решений нельзя оперировать понятиями «до сих пор ведь ничего не случилось же» и полагаться только на удачные стечения обстоятельств прошлого, а проактивно быть готовыми к реальным «случаям» кибератак.
Василий Шкиль, директор, департамент бизнес-консультирования, отдел по предоставлению услуг в области управления информационными технологиями и ИТ-рисками
Канат Сарсекеев, менеджер, департамент бизнес-консультирования, отдел по предоставлению услуг в области управления информационными технологиями и ИТ-рисками