Что не стоит делать руководителям для защиты своей организации от кибератак
Несмотря на то, что тема кибербезопасности сегодня определенно присутствует в повестке дня советов директоров многих организаций, она редко является постоянным вопросом. Чаще всего она рассматривается по просьбе Комитета по аудиту и рискам или по требованию неисполнительного директора, или, что еще хуже, в ответ на киберинцидент.
В основе всего этого лежат культурные и управленческие установки, которые скорее препятствуют развитию кибербезопасности, чем способствуют этому.
Есть 3 распространенные ошибки, которых руководству следует избегать для обеспечения кибербезопасности и предотвращения нарушений
Снижение значимости проблемы кибербезопасности: “У нас есть дела поважнее…”
Конечно, все организации разные, и кризис, вызванный COVID-19, влияет на каждую по-разному – одни процветают, пока другие близки к банкротству.
Но делать вид, что защита компании от киберугроз не является актуальным вопросом для руководства – халатность. И это, безусловно, является вопросом неэффективного управления, которым должны заняться директора.
Из-за пандемии большинство предприятий стали сильно зависимыми от цифровых услуг, стабильность которых основана на эффективных методах кибербезопасности, как внутри компании, так и во всей цепочке поставок. Сейчас вопрос кибербезопасности стал еще более серьезным, чем раньше. Он должен быть регулярной повесткой дня совета директоров. В идеале, один из членов Совета, часть вознаграждения которого связана с этим (если бюджет компании позволяет), должен быть ответственным за этот вопрос.
Считать кибербезопасность проблемой IT: “IT занимается этим…”
Это опасная позиция во многих смыслах.
Кибербезопасность никогда не была чисто технологическим вопросом. Для защиты бизнеса от киберугроз всегда требовались согласованные действия на уровне людей, процессов и технологий во всей организации. И сведение ее к техническому вопросу обесценивает проблему.
В крупных организациях это привело к тому, что на протяжении десятилетий не удавалось решить проблему управления рисками поставок, несмотря на миллионы, потраченные на это техническими консультантами.
Поэтому не следует возлагать решение этой проблемы на IT-директора, если только его профиль не достаточно высок в организации.
“Разбрасывание денег”: “Сколько нам нужно потратить, чтобы решить проблему?”
Защита бизнеса от киберугроз – это то, что вам нужно для развития, а не то, что можно купить, несмотря на то, что бесчисленные поставщики технологий и консультанты хотели бы, чтобы вы в это верили.
На самом деле, большинство организаций, подвергшихся взлому за последние несколько лет (BA, Marriott, Equifax, Travelex и т.д… список можно продолжать долго), потратили десятки или сотни миллионов на продукты кибербезопасности за последние десятилетия. Но там, где уровень кибербезопасности низок, и требуется глубокая трансформация, просто “разбрасываться деньгами” в попытках улучшить ситуацию – не поможет.
Конечно, потребуются инвестиции, но настоящую проблему следует искать в управлении и культуре компании, а также в реальном внедрении ценностей защиты бизнеса в корпоративную цель. Это должно начинаться на самом верху организации через видимое и убедительное участие Совета директоров в решении таких вопросов и передаваться руководителям среднего звена и ниже с помощью стимулов и премий.
Комментарии редакции
Чтобы обеспечить компании хорошую защиту от киберугроз, нужен комплексный подход. Проблема кибербезопасности должна рассматриваться на всех уровнях компаний, и особенно на уровне управления. Кроме того, деятельность по безопасности организации должна постоянно совершенствоваться. Только так риски будут уменьшаться, а компания – процветать.
Больше статей о киберстраховании на нашем ресурсе:
- Борьба с мошенничеством с помощью искусственного интеллекта;
- Почему кибератаки будут определять войну 21 века;
- США обеспокоены кибербезопасностью.
Оставайтесь с нами и будьте в курсе всех событий с рубрикой #Киберстрахование!
NEO-волонтер V1
Calmins.com ©
Источник: technative.io