6 советов от лидеров ИБ, как взять под контроль бизнес-риски

Давний лидер в области безопасности Даг Керстен расширил перечень своих обязанностей.

В качестве CISO компании-разработчика ПО Appfire он теперь несет ответственность за бизнес-риски, например, за то, как инструменты и процессы безопасности в продуктах и услугах для клиентов влияют на их затраты и, следовательно, на прибыльность.

По его словам, это наглядный пример того, где и почему CISO должны учитывать не только риски безопасности, но и бизнес-риски.

«CISO должны предоставлять информацию и принимать меры по устранению последствий, связанных со стоимостью безопасности, поскольку эти часто скрытые затраты негативно влияют на прибыльность», — говорит он. «Финансовые отделы обычно упускают это из виду при анализе реальной себестоимости проданных товаров, и если CISO не вовлечены в оценку бизнес-рисков, их легко проигнорировать».

Расширение полномочий Керстена в области бизнес-рисков не является чем-то уникальным. От CISO в разных отраслях все чаще ожидают выявления и устранения бизнес-рисков, которые в прошлом находились за пределами их должностных обязанностей.

«В то время как CISO традиционно фокусировались на защите систем, сетей и данных, сегодняшняя бизнес-среда требует от руководителей по безопасности понимания того, как киберугрозы влияют на доходы, операции, доверие клиентов, нормативные обязательства, цепочки поставок и стратегические цели», — говорит Дейл Хоак, CISO в фирме-разработчике ПО RegScale. «Различие между бизнес-риском и риском безопасности становится все более размытым».

Таким образом, сегодняшние CISO должны быть лидерами в области управления рисками предприятия, способными консультировать руководство о том, как решения в области безопасности влияют на способность организации достигать своих бизнес-целей, а не только на ее ИТ-инфраструктуру или производительность технологий.

Понимание бизнес-рисков — это серьезная задача, согласны эксперты, но они подчеркивают, что руководители по безопасности способны освоить этот навык. Здесь Керстен, Хоак и другие лидеры в области безопасности предлагают стратегии, как это сделать.

1. Партнерство с владельцами бизнес-рисков

По собственному признанию, Роланд Палмер, CISO и вице-президент технологической компании JumpCloud, еще не в совершенстве овладел управлением бизнес-рисками. Поэтому он сотрудничает с теми в своей организации, кто несет за них ответственность, чтобы иметь возможность учиться и вносить свой вклад.

«Мы формируем отличную команду для понимания рисков и аппетита организации к риску», — говорит он.

В состав команды входят руководители юридического отдела, финансового отдела и отдела маркетинга, а также технический директор (COO).

Керстен также опирается на бизнес-лидеров для оттачивания своего понимания бизнес-рисков. В прошлом году Керстен, работая со своими коллегами-руководителями, разработал программу, в рамках которой бизнес-лидерам были назначены риски безопасности.

«Безопасность помогает им понять риски безопасности, но они также приносят нам [связанные с этим] бизнес-риски и то, что можно сделать для их смягчения», — объясняет он, отмечая, что этот подход также выявил риски, которые с тех пор были устранены, тем самым устраняя ранее неизвестные пробелы.

2. Четкое согласование кибербезопасности с бизнес-целями

Керстен считает, что команды по безопасности должны понимать бизнес-цели, чтобы понимать, какие риски могут сорвать те или иные цели. Чтобы обеспечить наличие этих знаний в его программе безопасности, он включает корпоративные цели и ключевые результаты в свою стратегию безопасности.

«Я разрабатываю планы для достижения этих бизнес-целей и ключевых результатов. У меня по-прежнему есть этот параллельный уровень рисков безопасности, которым занимается команда по безопасности; он никуда не денется. Но поверх этого накладываются бизнес-показатели OKR, которые я должен выполнять», — объясняет он. «Это изменило наш взгляд на риски и то, что нам нужно делать».

Например, теперь он рассматривает, как действия отдела безопасности могут повлиять на удовлетворенность сотрудников и как это связано с удержанием персонала — бизнес-риском, выявленным отделом кадров, «поэтому мы работаем над тем, чтобы наши действия соответствовали потребностям отдела кадров».

Ричард Уотсон, руководитель отдела глобальной кибербезопасности в фирме, предоставляющей профессиональные услуги EY, согласен с необходимостью «четко согласовывать кибербезопасность с бизнес-целями».

«Сопоставьте киберконтроли с критически важными активами и бизнес-процессами и свяжите их с потенциальным финансовым воздействием», — советует он. «Это позволяет CISO переводить техническую подверженность в бизнес-термины и соответствующим образом приоритизировать инвестиции».

3. Активное использование нетворкинга и отношений

Еще один эффективный способ получить хорошее представление о бизнес-рисках — общение с коллегами из бизнеса. Регулярные беседы часто дают представление о том, что их по-настоящему беспокоит, говорит Гэри Хейслип, руководитель в области кибербезопасности и соавтор книги «CISO Desk Reference Guide».

«Еще одна вещь, которую я делал для понимания бизнес-рисков и которую рекомендовал коллегам, — это проводить обход или то, что некоторые называют туром прослушивания», — говорит он. «Я делаю это на каждой должности, потому что считаю важным понять их цели, используемые ими технологии, текущие проекты, проблемы, которые у них могут быть с программой безопасности, и, наконец, то, что по-настоящему не дает им спать по ночам».

Другие говорят, что придерживаются схожего подхода, подчеркивая ценность нетворкинга и построения отношений, при которых коллеги чувствуют себя комфортно, сообщая о проблемах и совместно работая над решениями.

«Бизнес-риск нельзя управлять в изоляции. CISO должны регулярно взаимодействовать с финансовым директором (CFO), техническим директором (COO), генеральным юрисконсультом, директором по рискам, руководителями продуктов и руководителями бизнес-подразделений», — говорит Хоак. «Эти беседы дают представление о возникающих бизнес-проблемах и помогают безопасности стать частью стратегического планирования, а не последующим упражнением по соблюдению нормативных требований».

4. Проведение настольных учений, ориентированных на бизнес-риски

Это более структурированная, но не менее эффективная возможность получить больше информации о бизнес-рисках — при условии, что учения ставят бизнес на первое место, говорит Хейслип.

«Большинство настольных учений, проводимых CISO и командами по безопасности, остаются техническими и останавливаются на сдерживании. Я обнаружил, что лучше проводить сценарии, которые заставляют руководителей принимать решения, которые они действительно приняли бы во время кризиса, например, платить ли выкуп, когда и что раскрывать в случае утечки данных, как обращаться с клиентами, когда и кто должен применять адвокатскую тайну, и есть ли оперативный резервный план и, если да, то кто принимает решение о его активации», — говорит Хейслип.

«Проведение таких сценариев помогает проверить на прочность реакцию компании и научить CISO и команду по безопасности тому, как их коллеги принимают решения под давлением», — добавляет он.

5. Изучение бизнес-рисков

Шон Мерфи, старший вице-президент и CISO в BECU, пятом по величине кредитном союзе в США, не полагался на случайность в изучении бизнес-рисков. Он искал возможности для формального обучения, например, получил Сертификат директора от Национальной ассоциации корпоративных директоров (Directorship Certification from the National Association of Corporate Directors). Сертификация подтверждает опыт обладателя в вопросах управления, фидуциарных обязанностей, стратегии и надзора за рисками.

Мерфи получил сертификат, чтобы повысить свою квалификацию для занятия должности в совете директоров и лучше понять точку зрения совета директоров своей компании, в том числе то, как он рассматривает риски. «Сертификация помогает мне углубиться в то, что волнует совет директоров и каков их мир, а затем помогает мне преподнести это моей команде и тому, что мы делаем», — добавляет он. «Это дает мне бизнес- и управленческий взгляд, а не чисто технический и взгляд с точки зрения безопасности».

Другие предлагают схожие стратегии обучения.

«CISO должен видеть компанию так, как ее видят генеральный директор, финансовый директор и совет директоров», — говорит Хейслип. «Для начала я бы порекомендовал изучить отчет 10-K или годовой отчет, презентацию для инвесторов и стенограммы отчетов о прибылях и убытках. Это поможет CISO понять, как компания зарабатывает деньги и какие продукты или бизнес-подразделения приносят доход. Это также поможет CISO понять, что руководство публично сообщает рынку о ключевых рисках и откуда, по их мнению, будет расти выручка в следующем отчетном периоде».

Эта работа, хотя, возможно, ранее и не была обязательной для традиционных руководителей по безопасности, сегодня становится насущной необходимостью.

«Это не весело; на самом деле, это может быть скучно», — говорит Мерфи. «Но CISO не сможет расставить приоритеты в защите бизнеса, если не знает, какие части бизнеса считаются критически важными. Годовой отчет дает такое представление словами руководства».

Опытные руководители в области безопасности также отмечают ценность получения сертификатов от ISACA, профессиональной ассоциации специалистов по управлению и рискам, а также квалификации сертифицированного внутреннего аудитора от Института внутренних аудиторов (Certified Internal Auditor designation).

6. Интеграция безопасности в управление рисками предприятия

Чтобы по-настоящему овладеть бизнес-рисками, CISO не должны рассматривать их отдельно от рисков безопасности.

«Кибербезопасность теперь является экзистенциальным бизнес-риском, а не просто ИТ-риском», — говорит Скотт Мельхиор, член Рабочей группы ISACA по новым тенденциям с 20-летним опытом работы в глобальной консалтинговой фирме, специализирующейся на управлении, рисках и соблюдении нормативных требований. «Цифровая инфраструктура — это бизнес-инфраструктура. Они слишком тесно переплетены, чтобы их разделять».

Хоак согласен, подчеркивая необходимость для CISO интегрировать безопасность в управление рисками предприятия.

«Киберриск должен быть включен в более широкие процессы управления рисками предприятия наряду с финансовыми, операционными, юридическими и стратегическими рисками. Это создает общую основу для оценки рисков и помогает высшему руководству рассматривать кибербезопасность в контексте общих бизнес-целей», — говорит он.

Хейслип применил это на практике. На своих должностях CISO он интегрировал реестр рисков безопасности в платформу ERM организации. Он говорит, что это позволило ему представлять риски, связанные с кибербезопасностью, на той же платформе, которую совет директоров уже просматривает наряду с финансовыми, операционными и стратегическими рисками.

«Цель состоит в том, чтобы киберриски отображались на тепловой карте предприятия наравне со всеми другими существенными рисками, чтобы они конкурировали за ресурсы и внимание на равных условиях, а не были второстепенными», — говорит Хейслип. «Теперь CISO приходится приложить некоторые усилия, чтобы сделать это правильно, но критически важно количественно оценивать киберриск в долларах и вероятности, а не в цветах. Я обнаружил, что переход от качественных тепловых карт к показателям финансового воздействия является одним из самых больших улучшений в том, как бизнес начинает слушать CISO».