Что не стоит делать руководителям для защиты своей организации от кибератак

Несмотря на то, что тема кибербезопасности сегодня определенно присутствует в повестке дня советов директоров многих организаций, она редко является постоянным вопросом. Чаще всего она рассматривается по просьбе Комитета по аудиту и рискам или по требованию неисполнительного директора, или, что еще хуже, в ответ на киберинцидент.

В основе всего этого лежат культурные и управленческие установки, которые скорее препятствуют развитию кибербезопасности, чем способствуют этому.

Есть 3 распространенные ошибки, которых руководству следует избегать для обеспечения кибербезопасности и предотвращения нарушений

Снижение значимости проблемы кибербезопасности: “У нас есть дела поважнее…”

Конечно, все организации разные, и кризис, вызванный COVID-19, влияет на каждую по-разному – одни процветают, пока другие близки к банкротству.

Но делать вид, что защита компании от киберугроз не является актуальным вопросом для руководства – халатность. И это, безусловно, является вопросом неэффективного управления, которым должны заняться директора.

Из-за пандемии большинство предприятий стали сильно зависимыми от цифровых услуг, стабильность которых основана на эффективных методах кибербезопасности, как внутри компании, так и во всей цепочке поставок. Сейчас вопрос кибербезопасности стал еще более серьезным, чем раньше. Он должен быть регулярной повесткой дня совета директоров. В идеале, один из членов Совета, часть вознаграждения которого связана с этим (если бюджет компании позволяет), должен быть ответственным за этот вопрос.

Считать кибербезопасность проблемой IT: “IT занимается этим…”

Это опасная позиция во многих смыслах.

Кибербезопасность никогда не была чисто технологическим вопросом. Для защиты бизнеса от киберугроз всегда требовались согласованные действия на уровне людей, процессов и технологий во всей организации. И сведение ее к техническому вопросу обесценивает проблему.

В крупных организациях это привело к тому, что на протяжении десятилетий не удавалось решить проблему управления рисками поставок, несмотря на миллионы, потраченные на это техническими консультантами.

Поэтому не следует возлагать решение этой проблемы на IT-директора, если только его профиль не достаточно высок в организации.

“Разбрасывание денег”: “Сколько нам нужно потратить, чтобы решить проблему?”

Защита бизнеса от киберугроз – это то, что вам нужно для развития, а не то, что можно купить, несмотря на то, что бесчисленные поставщики технологий и консультанты хотели бы, чтобы вы в это верили.

На самом деле, большинство организаций, подвергшихся взлому за последние несколько лет (BA, Marriott, Equifax, Travelex и т.д… список можно продолжать долго), потратили десятки или сотни миллионов на продукты кибербезопасности за последние десятилетия. Но там, где уровень кибербезопасности низок, и требуется глубокая трансформация, просто “разбрасываться деньгами” в попытках улучшить ситуацию – не поможет.

Конечно, потребуются инвестиции, но настоящую проблему следует искать в управлении и культуре компании, а также в реальном внедрении ценностей защиты бизнеса в корпоративную цель. Это должно начинаться на самом верху организации через видимое и убедительное участие Совета директоров в решении таких вопросов и передаваться руководителям среднего звена и ниже с помощью стимулов и премий.

Комментарии редакции

Чтобы обеспечить компании хорошую защиту от киберугроз, нужен комплексный подход. Проблема кибербезопасности должна рассматриваться на всех уровнях компаний, и особенно на уровне управления. Кроме того, деятельность по безопасности организации должна постоянно совершенствоваться. Только так риски будут уменьшаться, а компания – процветать.

Больше статей о киберстраховании на нашем ресурсе:

Оставайтесь с нами и будьте в курсе всех событий с рубрикой #Киберстрахование!

NEO-волонтер V1

Calmins.com ©

Источник: technative.io