Кибербезопасность, как и должно быть в эпоху кибератак, управляемых ИИ, является постоянным пунктом в повестке дня советов директоров предприятий. Однако форматы взаимодействия директоров по информационной безопасности (CISO) и советов директоров, а также глубина этих обсуждений остаются краткими и поверхностными.
Согласно новому отчету от IANS, Artico Search и The CAP Group, взаимодействие CISO с советами директоров остается непродолжительным (обычно 30 минут в квартал), ему не хватает глубины в отношении угроз, особенно тех, которые исходят от ИИ и других новых технологий, и оно больше похоже на «прослушивание», чем на активное участие.
«Отрасль все еще развивается, и понятие „хорошо“ постоянно меняется», — отметил Ник Каколоуски, старший директор по исследованиям CISO в IANS. «CISO и советы директоров все еще вырабатывают общий язык для контекстуализации и понимания долгосрочных последствий киберпроблем для бизнеса».
CISO не получают «дополнительного времени» на совещаниях
Согласно исследованию, только 30% советов директоров описывают свои отношения с CISO как «прочные и основанные на сотрудничестве», в то время как 35% называют их «адекватными и функциональными», а 24% считают, что им необходимо улучшение.
Это указывает на то, что глубокое доверие и партнерство остаются «неравномерными и далеко не повсеместными», отмечается в отчете.
Большинство из более чем 650 опрошенных CISO (95%) заявили, что регулярно отчитываются перед своим советом директоров, по крайней мере, ежеквартально. Из них 60% взаимодействуют со всем составом совета, а 35% — как минимум с одним комитетом совета. Однако три четверти руководителей служб безопасности заявили, что такие обсуждения обычно длятся всего 30 минут.
«Обновления часто жестко ограничены по времени и направляются через комитеты, а не непосредственно всему совету директоров», — отмечается в отчете.
В нем приводится цитата анонимного CISO из публичной финансовой компании: «Есть интерес к представленным мной отчетам, но почти нет последующих действий. Совет директоров рассматривает кибербезопасность как нечто, о чем нужно проинформировать, а не как нечто, что нужно испытать или изучить».
С другой стороны, те 25% CISO, у которых было «дополнительное время» более 30 минут, отметили, что кибербезопасность рассматривалась как более стратегическая тема, а не просто как формальность или обсуждение статуса. В этих случаях советы директоров могут участвовать в «компромиссах, оценке толерантности к риску и принятии решений», а не только в метриках, согласно отчету.
В настоящее время советы директоров «постоянно информируются», но многие все еще с трудом преобразуют отчеты по кибербезопасности в стратегические решения, сказал Каколоуски. Директора ищут более четкое понимание того, что будет дальше, особенно в условиях, когда ИИ меняет ландшафт угроз и корпоративные риски.
В результате CISO должны укреплять свои отношения внутри бизнеса и углублять свои знания о нем, чтобы выносить на обсуждение совета директоров правильные вопросы и создавать возможности для «значимых дискуссий о рисках», сказал он, даже если они проходят за кулисами или на уровне подкомитетов.
Член преподавательского состава IANS Стив Мартано согласился с тем, что лучшие презентации по безопасности — это «целостные обсуждения» киберрисков и бизнес-рисков. Их готовят CISO, которые формируют «краткое, основанное на данных повествование» и способствуют обсуждению и мозговому штурму по поводу толерантности к риску, стратегии управления рисками, киберрисков и технологических рисков в контексте ROI.
Советы директоров хотят получать более перспективную аналитику
Отчет также предполагает, что общение между советом директоров и CISO недостаточно глубоко прорабатывает детали в наши дни все более изощренных кибератак, управляемых ИИ.
Большинство директоров (82%) заявляют, что отчетность их руководителей по безопасности о регуляторных тенденциях была удовлетворительной или превосходной, и что они имели четкое представление об инициативах программы, текущих рисках и потребностях в ресурсах. Однако около половины заявили, что отчетность руководителей по безопасности в других областях, в частности об угрозах со стороны ИИ и других новых инструментов, нуждается в улучшении.
Это, по-видимому, сигнализирует о том, что советы директоров стремятся выйти за рамки общих бесед и перейти к более перспективной аналитике. ИИ теперь является основным фактором киберриска, позволяя проводить более изощренные атаки; в то же время он создает новые области потерь, поскольку модели ИИ становятся ценными активами, которые могут быть использованы или повреждены, сказал Брайан Уокер, генеральный директор The CAP Group.
«ИИ и кибербезопасность неразрывно связаны, и советы директоров должны понимать бизнес-риски, связанные с обоими», — сказал он.
Аналогичным образом, советы директоров регулярно работают с дашбордами и фреймворками, но менее половины из них (41%) участвуют в настольных учениях, симуляциях кризисных ситуаций, протоколах эскалации инцидентов или другом обучении и тренингах.
«Иными словами», — отмечается в отчете, — «советы директоров хорошо информированы на бумаге, но часто не доходят до того, чтобы испытать киберриск, что предполагает надзор, который является скорее пассивным, чем активным». Это говорит о том, что CISO не помогают советам директоров опережать «быстро меняющуюся динамику рисков» современного ландшафта угроз.
В конечном счете, подчеркивается в отчете, это подтверждает знакомую картину: обновления эффективно объясняют текущее состояние, но менее эффективны в подготовке директоров к тому, что произойдет дальше.
Вовлеченность совета директоров критически важна для кибербезопасности
Получение одобрения совета директоров имеет решающее значение, поскольку данные и цифровые возможности являются неотъемлемыми компонентами бизнес-стратегии. В результате риски, создаваемые новыми технологиями и методами использования данных, «становятся все более значимыми для состояния организации», — сказал Каколоуски.
В наиболее сильных организациях, ориентированных на безопасность, CISO «глубоко осведомлены» о рисках, наиболее важных для бизнеса, и могут контекстуализировать киберпроблемы в рамках этих рисков, сказал он. «Они не просто вводят совет директоров в курс дела по кибервопросам; они формируют киберповестку вокруг рисков, которые важны для совета директоров и, по сути, для всей организации».
Вывод для CISO: используйте свои знания в области безопасности для определения толерантности организации к риску и соответствующего управления рисками. Проще говоря, построение прочных отношений с советом директоров требует смены мышления: «от роли лидера по безопасности, пытающегося предотвратить взломы, к роли бизнес-лидера, выступающего в партнерстве с высшим руководством», — сказал Каколоуски.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Taryn Plumb
