USD
498.34₸
+3.470
EUR
519.72₸
-0.930
RUB
4.85₸
-0.060
BRENT
75.28$
BTC
98531.60$
-234.400

Как внедрить принцип встроенной кибербезопасности в вашей организации?

Задача, которую следует решать сообща

Share
Share
Share
Tweet
Share
Торг94

Торг94

Руководители подразделений информационной безопасности (ИБ), которые решат использовать принцип встроенной безопасности (SbD) и будут способствовать его активному внедрению, могут стать новаторами в своей сфере.

Осознавая постоянно увеличивающиеся риски кибербезопасности, многие организации принимают оборонительную позицию и упускают возможность добиться конкурентного преимущества, сделав задачи повышения кибербезопасности и конфиденциальности информации своими стратегическими приоритетами.

Чтобы осуществить качественный переход к принципуSbD, руководителям ИБ необходимо четко представлять, с какими проблемами ежедневно сталкиваются их организации и какие изменения происходят на рынке. Все сотрудники без исключения,  начиная с высшего руководства и заканчивая рядовыми специалистами, также должны уделять должное внимание вопросам кибербезопасности.

Переход к принципу SbD – задача, которую следует решать сообща: руководители подразделений ИБ должны активнее работать с представителями всех бизнес-направлений, которые, в свою очередь, равно как и члены совета директоров и руководители высшего звена, должны налаживать более тесное сотрудничество со службой ИБ. Только так ИБ сможет стать локомотивом трансформации.

В последнем глобальном исследовании EY по информационной безопасности мы анализируем, как меняется роль службы информационной безопасности с помощью трех составляющих:

1. Слабая коммуникация в организации

Согласно исследованию, атаки со стороны хактивистов являются второй по распространенности причиной утечек данных. Рост числа подобного рода атак свидетельствует о том, что специалистам в области кибербезопасности необходимо глубже понимать бизнес-среду своей организации. Отсутствие надлежащего взаимодействия между руководителями ИБ и руководителями других подразделений неминуемо приведет к тому, что последние будут принимать решения без учета мнений или требований со стороны ИБ, например, самостоятельно запускать новые продукты или услуги, которые могут нести в себе новые киберриски, которым будет подвержена организация.

Как показывают первые результаты международного опроса членов советов директоров по рискам, проведенного EY, перспективные технологии несут в себе наибольшие стратегические возможности для организаций. Стремясь ими воспользоваться, многие компании в корне пересматривают свою технологическую базу, что требует еще более тесного взаимодействия между службой ИБ, советом директоров, высшим руководством и представителями различных подразделений. Слаженная работа всех сторон позволит заблаговременно учитывать риски кибербезопасности при выработке новых бизнес-инициатив, что является одним из проявлений культуры встроенной безопасности.

·         Масштабы и количество угроз в области кибербезопасности и защиты конфиденциальных данных растут. По данным международного опроса членов советов директоров по рискам, проведенного EY, за прошедший год существенные инциденты имели место в шести из десяти организаций (59%), а представители 48% советов директоров полагают, что в течение ближайших 12 месяцев кибератаки и утечки данных будут оказывать весьма ощутимое влияние на деятельность их организаций. Почти в каждом пятом случае (21%) атаки исходят от хактивистов – технически подкованных злоумышленников, преследующих те или иные политические или социальные цели. По своей активности они уступают лишь организованным преступным группировкам (23%).

·         Всего 36% организаций отмечают, что вопросы кибербезопасности рассматриваются уже на этапе планирования новой бизнес-инициативы.

·         Инвестиции в кибербезопасность в первую очередь ориентированы на защиту, а не на инновации и трансформацию: в рамках новых инициатив 77% средств направляется на управление рисками или соблюдение нормативных требований, в то время как имеющимся возможностям почти не уделяется внимания.

·         По словам каждого пятого респондента, на поддержку новых инициатив их организации тратят не более 5% бюджета на кибербезопасность.

2. Укрепление отношений между подразделениями

Руководителям службы ИБ необходимо теснее общаться со своими коллегами из других подразделений, включая отделы маркетинга, управления стратегией и продаж. Это позволит повысить значимость кибербезопасности в глазах бизнеса и воплотить в жизнь принцип SbD. 

Укрепление взаимодействия с другими подразделениями должно стать приоритетной задачей, при этом службе ИБ также необходимо уделять больше внимания сотрудничеству как с советом директоров, так и с исполнительным руководством высшего и среднего звена.

·         По словам 74% респондентов, у службы ИБ либо натянутые или в лучшем случае нейтральные отношения с отделом маркетинга, либо же они вообще никак между собой не взаимодействуют. 59% респондентов отметили слабую коммуникацию отдела ИБ с другими подразделениями. Трения у специалистов в области кибербезопасности присутствуют даже в отношениях с финансовой службой, которая утверждает их бюджет: о нехватке средств заявили 57% участников опроса.

·         Около половины респондентов (48%) указывают на то, что у совета директоров их организации пока нет полного представления о киберрисках, а 43% заявляют о том, что совет директоров не вполне осознает ценность службы ИБ и ее потребности.

·         Согласно результатам международного опроса членов советов директоров по рискам, проведенного EY, у последних отсутствует уверенность в надлежащей защите от рисков: не более половины опрошенных заявили о том, что они более или менее уверены в кибербезопасности своей организации.

·         Лишь 54% организаций регулярно выносят вопросы кибербезопасности на рассмотрение совета директоров.

·         В шести случаях из десяти организации не могут дать совету директоров обоснование эффективности расходования средств на кибербезопасность.

3. Руководитель ИБ – главное звено в процессе трансформации

Руководитель ИБ может стать основным действующим лицом процесса трансформации, выстраивая прочные отношения с другими подразделениями и советом директоров, хорошо разбираясь в бизнес-задачах своей организации, а также имея широкие возможности по упреждению возникающих киберугроз и рисков, связанных с ними.

Для этого надо по-новому взглянуть на привычный ход вещей, а также обладать необходимыми навыками в части общения, сотрудничества и ведения переговоров. Лидерами станут те руководители, которые не отвергают новые инициативы и готовы их конструктивно рассматривать.

·         Лишь 7% организаций считают, что их служба ИБ способствует внедрению инноваций, большинство же полагает, что она ориентирована на соблюдение нормативных требований и чрезмерно осторожна.

·         В качестве главной причины выделения дополнительных средств около половины респондентов (48%) назвали стремление снизить риск, 29% – необходимость соблюдать нормативные требования и лишь 9% – реализацию новых инициатив.

В шести случаях из десяти в организациях отсутствует позиция руководителя службы ИБ, который бы входил в состав совета директоров или исполнительного руководства.

Краткие рекомендации EY

Как показывают результаты нашего последнего исследования, сегодня существует реальная возможность придать кибербезопасности качественно новое содержание, сделав ее важнейшей составляющей трансформации бизнеса и инновационного развития. Это потребует совместных усилий со стороны совета директоров, высшего руководства, руководителей ИБ и директоров подразделений по следующим направлениям:

1.      Превращение кибербезопасности в ключевой элемент цифровой трансформации: учет аспектов кибербезопасности на этапе планирования любой новой инициативы. Грамотное использование подхода на основе принципа SbD в целях эффективного управления рисками, связанными с трансформацией, а также своевременной разработки необходимых продуктов или услуг.

2.      Выстраивание доверительных отношений с каждым подразделением: совместный анализ ключевых бизнес-процессов для понимания того, какое влияние могут оказать на них киберриски и каким образом служба ИБ может помочь повысить эффективность работы рассматриваемого подразделения.

3.      Внедрение оптимальных структур управления: разработка КПЭ и ключевых индикаторов риска, которые позволят перейти к риск-ориентированному подходу при подготовке отчетности для исполнительного руководства и совета директоров.

4.      Повышение заинтересованности со стороны совета директоров: умение подобрать нужные слова и количественно оценивать угрозы, чтобы эффективно доводить информацию о киберрисках до сведения совета директоров.

Оценка эффективности службы ИБ в целях развития новых компетенций руководящего состава: определение сильных и слабых сторон службы ИБ в целях получения представления о том, какие именно навыки и как нужно развивать.

Принцип Security by Design неразрывно связан с процессом управления рисками кибербезопасности. Несмотря на то, что развитие автоматизации бизнес-процессов и сервисов делает организации все более и более подверженными увеличению киберрисков, далеко не каждая компания в СНГ имеет эффективную систему управления рисками кибербезопасности, которая достигает своих целей. К сожалению, многие организации, особенно банковского сектора, которые обязаны управлять киберрисками, имеют эффективный процесс лишь «на бумаге», что помогает соблюдать требования регуляторов о наличии системы управления рисками, однако это не позволяет реально управлять рисками, что делает использование принципа SbD крайне затруднительным.

Построение деловых отношений как с членами совета директоров и акционерами, так и руководителями ИТ и бизнес-подразделений; умение обосновывать инвестиции в ИБ; обладание навыками эффективных переговоров – вот далеко не полный перечень знаний, которых недостает современным руководителям служб ИБ в СНГ. При этом, как правило, отмечается высокий уровень их технической подготовки в области ИБ, уверенное знание отраслевых и международных стандартов, регуляторных требований, а также знание рынка современных средств защиты. Результатом такой комбинации навыков является недооценка роли ИБ в организации, создание ложного впечатления, что ИБ не важна при развитии бизнеса, а подход SbD только тормозит внедрение инноваций.

Целью внедрения SbD не должно являться получение незамедлительной, прямой денежной выгоды. Использование данного подхода поможет организации обладать необходимыми возможностями (capabilities) в области кибербезопасности и способствует своевременному противостоянию вероятным последствиям реализации инцидентов в области ИБ. Руководителям и лицам, принимающим стратегические решения в организациях, необходимо понимать, что своевременные и умные инвестиции в кибербезопасность позволяют быть готовыми к реальным киберугрозам и являются неотъемлемой частью естественного «взросления» организации.

Поскольку одним из ключевых факторов достижения успеха любой трансформации являются люди, то руководителям организаций необходимо переосмыслить подход по решению задач кибербезопасности, а директору ИБ научиться говорить на языке бизнеса. Пора принять тот факт, что рано или поздно кибератака на организацию произойдет, и если не быть готовым, то последствия могут быть катастрофическими. При принятии решений нельзя оперировать понятиями «до сих пор ведь ничего не случилось же» и полагаться только на удачные стечения обстоятельств прошлого, а проактивно быть готовыми к реальным «случаям» кибератак.

Василий Шкиль, директор, департамент бизнес-консультирования, отдел по предоставлению услуг в области управления информационными технологиями и ИТ-рисками

Канат Сарсекеев, менеджер, департамент бизнес-консультирования, отдел по предоставлению услуг в области управления информационными технологиями и ИТ-рисками

При работе с материалами Центра деловой информации Kapital.kz разрешено использование лишь 30% текста с обязательной гиперссылкой на источник. При использовании полного материала необходимо разрешение редакции.

Вам может быть интересно

Читайте Kapital.kz в Kapital Telegram Kapital Instagram Kapital Facebook
Вверх
Комментарии
Выйти
Отправить
Авторизуйтесь, чтобы отправить комментарий
Новый пользователь? Регистрация
Вам необходимо пройти регистрацию, чтобы отправить комментарий
Уже есть аккаунт? Вход
По телефону По эл. почте
Пароль должен содержать не менее 6 символов. Допустимо использование латинских букв и цифр.
Введите код доступа из SMS-сообщения
Мы отправили вам код доступа. Если по каким-то причинам вы не получили SMS, вы можете отправить его еще раз.
Отправить код повторно ( 59 секунд )
Спасибо, что авторизовались
Теперь вы можете оставлять комментарии.
Вы зарегистрированы
Теперь вы можете оставлять комментарии к материалам портала
Сменить пароль
Введите номер своего сотового телефона/email для смены пароля
По телефону По эл. почте
Введите код доступа из SMS-сообщения/Email'а
Мы отправили вам код доступа. Если по каким-то причинам вы не получили SMS/Email, вы можете отправить его еще раз.
Пароль должен содержать не менее 6 символов. Допустимо использование латинских букв и цифр.
Отправить код повторно ( 59 секунд )
Пароль успешно изменен
Теперь вы можете авторизоваться
Пожаловаться
Выберите причину обращения
Спасибо за обращение!
Мы приняли вашу заявку, в ближайшее время рассмотрим его и примем меры.