3 ошибки, которые может совершить руководство в области кибербезопасности

Что не стоит делать руководителям для защиты своей организации от кибератак

Несмотря на то, что тема кибербезопасности сегодня определенно присутствует в повестке дня советов директоров многих организаций, она редко является постоянным вопросом. Чаще всего она рассматривается по просьбе Комитета по аудиту и рискам или по требованию неисполнительного директора, или, что еще хуже, в ответ на киберинцидент.

В основе всего этого лежат культурные и управленческие установки, которые скорее препятствуют развитию кибербезопасности, чем способствуют этому.

3 ошибки, которые может совершить руководство в области кибербезопасности

Есть 3 распространенные ошибки, которых руководству следует избегать для обеспечения кибербезопасности и предотвращения нарушений

Снижение значимости проблемы кибербезопасности: “У нас есть дела поважнее…”

Конечно, все организации разные, и кризис, вызванный COVID-19, влияет на каждую по-разному – одни процветают, пока другие близки к банкротству.

Но делать вид, что защита компании от киберугроз не является актуальным вопросом для руководства – халатность. И это, безусловно, является вопросом неэффективного управления, которым должны заняться директора.

Из-за пандемии большинство предприятий стали сильно зависимыми от цифровых услуг, стабильность которых основана на эффективных методах кибербезопасности, как внутри компании, так и во всей цепочке поставок. Сейчас вопрос кибербезопасности стал еще более серьезным, чем раньше. Он должен быть регулярной повесткой дня совета директоров. В идеале, один из членов Совета, часть вознаграждения которого связана с этим (если бюджет компании позволяет), должен быть ответственным за этот вопрос.

Считать кибербезопасность проблемой IT: “IT занимается этим…”

Это опасная позиция во многих смыслах.

Кибербезопасность никогда не была чисто технологическим вопросом. Для защиты бизнеса от киберугроз всегда требовались согласованные действия на уровне людей, процессов и технологий во всей организации. И сведение ее к техническому вопросу обесценивает проблему.

В крупных организациях это привело к тому, что на протяжении десятилетий не удавалось решить проблему управления рисками поставок, несмотря на миллионы, потраченные на это техническими консультантами.

Поэтому не следует возлагать решение этой проблемы на IT-директора, если только его профиль не достаточно высок в организации.

“Разбрасывание денег”: “Сколько нам нужно потратить, чтобы решить проблему?”

Защита бизнеса от киберугроз – это то, что вам нужно для развития, а не то, что можно купить, несмотря на то, что бесчисленные поставщики технологий и консультанты хотели бы, чтобы вы в это верили.

На самом деле, большинство организаций, подвергшихся взлому за последние несколько лет (BA, Marriott, Equifax, Travelex и т.д… список можно продолжать долго), потратили десятки или сотни миллионов на продукты кибербезопасности за последние десятилетия. Но там, где уровень кибербезопасности низок, и требуется глубокая трансформация, просто “разбрасываться деньгами” в попытках улучшить ситуацию – не поможет.

Конечно, потребуются инвестиции, но настоящую проблему следует искать в управлении и культуре компании, а также в реальном внедрении ценностей защиты бизнеса в корпоративную цель. Это должно начинаться на самом верху организации через видимое и убедительное участие Совета директоров в решении таких вопросов и передаваться руководителям среднего звена и ниже с помощью стимулов и премий.

Комментарии редакции

Чтобы обеспечить компании хорошую защиту от киберугроз, нужен комплексный подход. Проблема кибербезопасности должна рассматриваться на всех уровнях компаний, и особенно на уровне управления. Кроме того, деятельность по безопасности организации должна постоянно совершенствоваться. Только так риски будут уменьшаться, а компания – процветать.

Больше статей о киберстраховании на нашем ресурсе:

Оставайтесь с нами и будьте в курсе всех событий с рубрикой #Киберстрахование!

NEO-волонтер V1

Calmins.com ©

Источник: technative.io

Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии
Это тоже очень интересная статья
ЦБ может начать публиковать список недружественных страховщиков
Читать
ЦБ может начать публиковать список недружественных страховщиков
Министерство Финансов РФ подготовило законопроект, согласно которому Центральный банк России будет обязан публиковать в интернете перечень нежелательных компаний-партнеров…