Кибербезопасность — это вопрос, который обсуждается в советах директоров, но содержательный диалог за столом переговоров часто заходит в тупик. Советы директоров спрашивают об инвестициях в кибербезопасность и киберустойчивости; им нужны ответы, основанные на реальности, а не на прогнозах. Когда руководители в области кибербезопасности отвечают списком развернутых технологий и потенциальными рисками, требующими дополнительных инвестиций, члены совета директоров могут быть разочарованы отсутствием четких ответов и потерять доверие. Это отличная возможность для CISOs (руководителей по информационной безопасности) применить другой подход.
Часть проблемы заключается в том, что большинство советов директоров не имеют в своем составе специалистов по кибербезопасности и экспертизы, что затрудняет понимание связи между техническими рисками и влиянием на бизнес. Ответственность CISOs заключается в том, чтобы переводить результаты технической кибербезопасности на язык бизнеса, позволяя членам совета директоров принимать обоснованные решения о будущих инвестициях и финансовой защите компании. Кроме того, руководящие команды должны быть готовы обсуждать такие концепции, как допустимый уровень риска и потенциальные степени прерывания бизнес-процессов. Это связано с тем, что никакие инвестиции в кибербезопасность не могут гарантировать полное отсутствие сбоев; определенный уровень риска должен быть принят.
К сожалению, этот непреднамеренный коммуникационный разрыв является следствием характера киберугроз. Совет директоров хочет знать, насколько хорошо компания подготовлена к предотвращению дорогостоящих перебоев в работе, регуляторных штрафов или коллективных исков, связанных с киберинцидентами. Заманчиво полагаться на внутренние аудиты и соответствие нормативным требованиям (например, аттестации SOC2), но они не дают надежного ответа на вопрос о киберустойчивости: многие компании не смогли остановить кибератаки, несмотря на значительные инвестиции в инструменты кибербезопасности и соблюдение нормативных требований. (На самом деле, Gartner прогнозирует, что мировые расходы конечных пользователей на информационную безопасность достигнут 240 миллиардов долларов США в 2026 году).
Руководителям в области кибербезопасности отчаянно необходимо доказывать эффективность инвестиций в кибербезопасность и уверенно, с доказательствами, демонстрировать, что меры защиты работают должным образом все время. Существует очевидная возможность изменить формат беседы с советами директоров и руководящими командами.
Почему доверие подрывается: пределы соответствия и коммуникации
Фреймворки кибербезопасности, такие как NIST и CSF, и соблюдение этих фреймворков имеют ключевое значение. Однако, хотя они были разработаны для стандартизации и проверки приемлемого уровня контроля, они не гарантируют положительных результатов в области кибербезопасности. Успешное прохождение аудита раз в год не означает, что ваши средства контроля работают каждый день. Например, неправильно настроенный элемент управления может привести к прямому риску утечки данных. Пробел в резервном копировании может нарушить ваше обещание по времени восстановления (RTO). Отсутствие страхового покрытия в момент атаки может привести к аннулированию полиса.
CISOs склонны представлять тепловые карты и дашборды, которые слишком техничны для членов совета директоров. Когда руководители спрашивают, почему что-то помечено красным, разговор может перейти к тому, что для совета директоров выглядит как субъективность. Требования Комиссии по ценным бумагам и биржам (SEC) к раскрытию информации о кибербезопасности вынудили советы директоров активнее участвовать в этом вопросе. Новые правила повысили прозрачность и ответственность как для советов директоров, так и для CISOs, но не обязательно улучшили их понимание. CISOs несут ответственность, но по-прежнему не имеют средств для доказательства результатов работы своей команды. Преодоление языкового барьера между лидерами в области кибербезопасности и бизнесом требует перевода, но это также возможность переосмыслить роль кибербезопасности и сосредоточиться на желаемом результате, к которому стремятся бизнес-лидеры: киберустойчивости.
Построение общего языка для достижения результата «Вот доказательство киберустойчивости»
CISOs могут переформулировать обсуждение, используя данные и доказательства. Современные инструменты кибербезопасности генерируют большой объем данных и информации о том, как они работают в любой момент времени, о состоянии развернутых средств контроля, проверке конфигурации и многом другом. Существует возможность собирать такие данные, очищать их и получать непрерывные сведения, которые подтверждают в любой момент времени не только соответствие нормативным требованиям в области кибербезопасности, но и общую позицию в этой сфере. Поскольку эти сведения являются доказательством фактического состояния, CISO может на постоянной основе выявлять пробелы в защите и либо устранять эти пробелы, либо помогать бизнесу определять приоритеты смягчения последствий. А в некоторых случаях совершенно правильным бизнес-решением является принятие риска. Важно формально зафиксировать это принятие, документировать, почему оно было принято, и обеспечить, чтобы принятие пересматривалось с соответствующей периодичностью, чтобы уровень риска со временем не превышал допустимый для компании уровень.
Это устранит субъективность и путаницу из отчетов для совета директоров. CISOs смогут продемонстрировать готовность и эффективность, а советы директоров смогут интерпретировать результаты в привычных для бизнеса терминах.
Практические шаги для CISOs по доказательству устойчивости
Внедрение мер кибербезопасности критически важно, но недостаточно. Каждый день даже организации с надежными инвестициями в кибербезопасность становятся жертвами кибератак. Руководители советов директоров и бизнеса возлагают бремя на лидеров в области кибербезопасности, но на самом деле требуют большего: они хотят киберустойчивости.
Киберустойчивость — это способность продолжать критически важные операции в условиях ухудшения ситуации, например, при киберинциденте, и гибкость для быстрого возвращения к нормальным операциям с минимальными финансовыми последствиями. Это больше, чем просто развертывание инструментов кибербезопасности. Резервные копии должны быть восстанавливаемыми, а полисы киберстрахования должны оплачивать претензии. В идеале организация знает, сколько времени требуется для перезапуска систем из резервной копии, и имеет всю информацию для полной и быстрой оплаты претензий.
Сегодня никто не несет единоличной ответственности за киберустойчивость, но различные ее аспекты находятся в ведении CISO (меры безопасности), CIO (резервное копирование) и CFO (страхование). Для оценки наличия всех мер безопасности требуется сотрудничество всех трех. Также настало время перейти от ручного отслеживания мер безопасности к автоматизированному отслеживанию на основе доказательств.
Следующий шаг — перейти от отчетности о деятельности к обмену доказательствами и поддержке принятия решений. Это включает предоставление четкого представления о состоянии кибербезопасности, что затем выявляет риски, по которым бизнесу необходимо принять решения о смягчении последствий или принятии. Чтобы использовать доказательства для демонстрации того, соответствует ли бизнес своим целям по киберустойчивости, данные должны заменить прогнозы. Далее, автоматизируйте низкоценную работу. Освободите команды от рутинной подготовки к аудиту, используя инструменты для агрегирования и предоставления защищенных от несанкционированного доступа доказательств. Сосредоточьте человеческий опыт на стратегии и принятии решений по киберустойчивости, а не на административных задачах.
Наконец, обучайте и контекстуализируйте для совета директоров. Предоставляйте краткие, ориентированные на результат обновления, которые связывают эффективность кибербезопасности с целями киберустойчивости. Подчеркните, что риск и непрерывность бизнеса в конечном итоге лежат на совете директоров, а не на CISO.
Лучший язык — крепче доверие
Киберустойчивость — это бизнес-проблема, а не проблема ИТ и кибербезопасности. Совет директоров поймет ее, когда коммуникация, основанная на доказательствах, будет способствовать прозрачности, доверию и ясности действий. Когда они слышат информацию, изложенную на понятном им языке, советы директоров обретают уверенность в инвестициях и решениях по управлению. Это приводит к меньшему количеству замечаний в отчетах для совета директоров, более содержательным беседам и более длительному сроку пребывания CISOs в должности. Это превращает кибербезопасность из реактивного центра затрат в проактивный драйвер ценности. Когда CISOs могут предоставить доказательства, адаптированные к собственному уровню терпимости к риску компании, разговор меняется с неопределенности на ясность.
Эта статья опубликована в рамках Foundry Expert Contributor Network.
Хотите присоединиться?
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Joshua Brown
