Сейчас трудные времена для ведения бизнеса. Облегчение после выхода из пандемии было недолгим, за ним последовали безудержная инфляция, заоблачные процентные ставки, деловая неопределенность и геополитическая нестабильность. На этом фоне последнее, что нужно организации, — это похищение критически важных данных и повреждение систем в результате кибератаки. Или ключевой поставщик пострадает от того же. Июньская атака программы-вымогателя на поставщика услуг Национальной службы здравоохранения показала, какой катастрофический побочный эффект может иметь такое взлом.
Вот почему директора по информационной безопасности по всей стране пытаются обосновать необходимость повышения киберустойчивости. Однако их работа непроста. Во-первых, им нужно убедить скептически настроенное – а иногда и откровенно враждебное – правление.
Технический директор Trend Micro в Великобритании и Ирландии.
Почему устойчивость имеет значение
Киберустойчивость заключается в устранении пробелов в людях, процессах и технологиях, чтобы гарантировать, что организация может продолжать эффективно работать, даже если она подвергнется длительной и изощренной кибератаке. Это означает улучшение кибергигиены с помощью передовых методов, таких как многофакторная аутентификация (MFA), регулярное обучение по вопросам безопасности, резервное копирование, шифрование, защита от вредоносного ПО, быстрое обновление и многое другое. Этот подход «предотвращения» необходимо дополнить обнаружением и реагированием, чтобы выявить любые угрозы, которые могут проникнуть внутрь, и быстро восстановиться до того, как это окажет какое-либо существенное воздействие на организацию.
К сожалению, это становится сложнее, чем когда-либо, поскольку цифровые инвестиции расширяют типичную корпоративную поверхность атаки. По данным правительства, половина британских предприятий зафиксировала по крайней мере одну кибератаку или взлом в прошлом году, увеличившись до 70% средних и 74% крупных компаний. Программы-вымогатели — не единственная угроза, с которой сталкиваются эти организации. Но, по данным Национального центра кибербезопасности (NCSC), он стал самым крупным. Он также предупреждает, что угроза, как ожидается, будет возрастать по мере того, как злоумышленники овладеют инструментами искусственного интеллекта.
Для некоторых компаний это стало экзистенциальным риском. Советы директоров, столкнувшиеся с угрозой потери интеллектуальной собственности или данных клиентов/сотрудников и/или сбоев в обслуживании, должны быть хорошо осведомлены о долгосрочных финансовых и репутационных последствиях для их бизнеса. Даже относительно небольшие киберинциденты могут вывести некоторые системы из строя для расследования и перенаправить ресурсы от важных проектов цифровой трансформации.
Подорванный и недооцененный
Поэтому инвестиции в киберустойчивость должны быть очевидным аргументом для директоров по информационной безопасности. К сожалению, все не так просто. Чтобы киберстратегия функционировала в организации так, как задумано, руководитель отдела ИТ или безопасности должен быть услышан и понят. Совет директоров должен согласиться с их видением, безоговорочно понимая важность эффективного управления киберрисками для бизнеса.
К сожалению, исследования показывают, что советы директоров с большей вероятностью будут отстранены от киберпространства и не будут испытывать энтузиазма, рассматривая его как ИТ-риск и не более того. Фактически, большинство (80%) директоров по информационной безопасности утверждают, что их совет директоров будет заинтересован в действиях по устранению киберрисков только в случае фактического нарушения. Реактивные инвестиции, подобные этим, часто приводят к точечным решениям, которые не решают фундаментальные проблемы и закрывают трещины, когда требуется что-то более целостное.
В том же исследовании показано, что 79% руководителей кибербезопасности ощущали давление со стороны совета директоров, заставляющее преуменьшать серьезность киберрисков, с которыми сталкивается их организация. Многие утверждают, что это происходит потому, что их считают «придирчивыми» и чрезмерно негативными. Третьи говорят, что их уволили сразу.
Преодоление разрыва
Отчасти это вина правления. Хотя регулирующие органы все чаще требуют большей личной ответственности за киберинциденты на уровне советов директоров (что, безусловно, привлечет внимание), еще многое предстоит сделать. Иногда директора по информационной безопасности также могут быть частью проблемы, наполняя свои презентации нерелевантными показателями и отраслевым жаргоном. Это не лучший способ привлечь на свою сторону бизнес-аудиторию, которая хочет получить ответы на гораздо более фундаментальные вопросы: насколько мы в безопасности? Что нам понадобится, чтобы туда добраться?
Чтобы преодолеть зияющую брешь в доверии к совету директоров, руководителям служб безопасности необходимо, чтобы их общение было простым, конкретным и свободным от технических терминов. Им необходимо согласовать кибербезопасность с бизнес-рисками, а результаты кибербезопасности — с бизнес-целями. И им нужно больше работать над построением личных отношений с членами совета директоров.
Путешествие начинается здесь
Как они туда попадают? Использование правильных показателей — хорошее начало. Консолидируя точечные решения на единой платформе для управления киберрисками, они могут создать единый источник достоверной информации для более последовательной отчетности. Лучшим результатом было бы решение, способное рассчитывать риск на основе ландшафта атак, подверженности пользователей и конфигурации безопасности, а также общего влияния на бизнес. Это можно использовать для постоянного картирования рисков по всей поверхности корпоративных атак и принятия автоматических мер по устранению любых возникающих пробелов, таких как уязвимости и неправильные конфигурации.
Результаты могут быть отображены на простой в использовании информационной панели для руководителей, которая помогает старшим руководителям понять реальные последствия таких туманных концепций, как неправильная конфигурация облака и компрометация учетных записей. Такой подход прокладывает четкий путь к более тесному согласованию между целями безопасности и бизнеса, что в конечном итоге может помочь повысить киберустойчивость. Некоторым компаниям предстоит долгий путь, но альтернатива гораздо хуже.
Мы перечисляем лучшие онлайн-курсы по кибербезопасности.
Эта статья была подготовлена в рамках канала Expert Insights от TechRadarPro, где мы рассказываем о лучших и ярких умах современной технологической отрасли. Мнения, выраженные здесь, принадлежат автору и не обязательно совпадают с мнением TechRadarPro или Future plc. Если вы заинтересованы в участии, узнайте больше здесь: https://www.techradar.com/news/submit-your-story-to-techradar-pro