Как внедрить принцип встроенной кибербезопасности в вашей организации?

Автор

Крис Лавджой

Руководитель отдела по оказанию услуг в области кибербезопасности глобальной организации EY

Гуру в области кибербезопасности и счастливая мать четверых детей. Любит дайвинг, пешие походы и декорировать мебель. Живет в Маклине, штат Вирджиния.

18 фев 2020

Директора по информационной безопасности (ИБ), которые возьмут на вооружение принцип встроенной безопасности (SbD) и будут способствовать его активному внедрению, могут стать новаторами в своей сфере.

Перед лицом растущих киберугроз многие организации принимают оборонительную позицию и упускают возможность добиться конкурентного преимущества, возведя задачи повышения кибербезопасности и конфиденциальности информации в ранг своих стратегических приоритетов.

Чтобы осуществить качественный переход к принципу SbD, директорам по ИБ необходимо четко представлять, с какими проблемами ежедневно сталкиваются их организации и какие изменения происходят на рынке. Все остальные, начиная с высшего руководства и заканчивая рядовыми сотрудниками, также должны уделять должное внимание вопросам кибербезопасности.

Переход к принципу SbD – задача, которую следует решать сообща: директора по ИБ должны активнее работать с представителями всех подразделений, которые, в свою очередь, равно как и члены совета директоров, и руководители высшего звена, должны налаживать более тесное сотрудничество со службой ИБ. Только так она сможет стать локомотивом трансформации.

В последнем глобальном исследовании EY по информационной безопасности мы анализируем, как меняется роль службы информационной безопасности, через призму следующих трех составляющих:

1. Слабая коммуникация в организации

По данным исследования, атаки со стороны активистов являются второй по распространенности причиной утечек данных. Рост числа подобного рода атак свидетельствует о том, что специалистам в области кибербезопасности необходимо гораздо глубже понимать бизнес-среду своей организации. Отсутствие надлежащего взаимодействия между директорами по ИБ и руководителями других подразделений неминуемо приведет к тому, что последние будут принимать односторонние решения, например, самостоятельно запускать новые продукты или услуги, которые могут нести с собой новые угрозы.

Как показывают первые результаты международного опроса членов советов директоров по рискам, проведенного EY, который будет опубликован в ближайшее время, подрывные технологии несут в себе наибольшие стратегические возможности для организаций. Стремясь ими воспользоваться, многие компании в корне пересматривают свою технологическую базу, что требует еще более тесного взаимодействия между директорами по ИБ, советом директоров, высшим руководством и представителями различных подразделений. Слаженная работа всех сторон позволит заблаговременно учитывать вопросы кибербезопасности при выработке новых бизнес-инициатив, что является одним из проявлений культуры встроенной безопасности.

Недостаточное внедрение принципа SbD

36%

организаций отмечают, что вопросы кибербезопасности рассматриваются уже на этапе планирования новой бизнес-инициативы.

  • Масштабы и количество угроз в области кибербезопасности и защиты конфиденциальных данных растут. По данным международного опроса членов советов директоров по рискам, проведенного EY, за прошедший год существенные инциденты имели место в шести из десяти организаций (59%), а представители 48% советов директоров полагают, что в течение ближайших 12 месяцев кибератаки и утечки данных будут оказывать весьма ощутимое влияние на деятельность их организаций. Почти в каждом пятом случае (21%) атаки исходят от "хактивистов" – технически подкованных злоумышленников, преследующих те или иные политические или социальные цели. По своей активности они уступают лишь организованным преступным группировкам (23%).
  • Лишь 36% организаций отмечают, что вопросы кибербезопасности рассматриваются уже на этапе планирования новой бизнес-инициативы.
  • Инвестиции в кибербезопасность в первую очередь ориентированы на защиту, а не на инновации и трансформацию: в рамках новых инициатив 77% средств направляется на управление рисками или соблюдение нормативных требований, в то время как имеющимся возможностям почти не уделяется внимания.
  • Про словам каждого пятого респондента, на поддержку новых инициатив их организации тратят не более 5% бюджета на кибербезопасность.

2. Укрепление отношений между подразделениями

Руководителям службы ИБ необходимо гораздо теснее общаться со своими коллегами из других подразделений, включая отделы маркетинга, НИОКР и продаж. Это позволит повысить значимость кибербезопасности в глазах бизнеса и воплотить в жизнь принцип SbD. 

Укрепление взаимодействия с другими подразделениями должно стать приоритетной задачей, при этом службе ИБ также необходимо гораздо продуктивнее сотрудничать как с советом директоров, так и с исполнительным руководством высшего и среднего звена.

Время для перезагрузки отношений

59%

организаций отмечают, что у службы ИБ либо натянутые или в лучшем случае нейтральные отношения с другими подразделениями, либо же они вообще никак между собой не взаимодействуют.

    .
  • По словам 74% респондентов, у службы ИБ либо натянутые или в лучшем случае нейтральные отношения с отделом маркетинга, либо же они вообще никак между собой не взаимодействуют. Такая же ситуация по мнению 64% опрошенных сложилась и с отделом НИОКР. 59% респондентов отметили слабую коммуникацию отдела ИБ с другими подразделениями. Трения у специалистов области кибербезопасности присутствуют даже в отношениях с финансовой службой, которая уполномочена утверждать их бюджет: о нехватке средств заявили 57% участников опроса.
  • Около половины респондентов (48%) указывают на то, что у совета директоров их организации пока нет полного представления о киберрисках, а 43% заявляют о том, что совет директоров не вполне осознает ценность службы ИБ и ее потребности.
  • Согласно результатам международного опроса членов советов директоров по рискам, проведенного EY, у последних отсутствует уверенность в надлежащей защите от рисков: не более половины опрошенных заявили о том, что они более или менее уверены в кибербезопасности своей организации.
  • Лишь 54% организаций регулярно выносят вопросы кибербезопасности на рассмотрение совета директоров.
  • В шести случаях из десяти организации не могут дать совету директоров оценку эффективности расходования средств на кибербезопасность.
.

3. Директор по ИБ – главное звено в процессе трансформации

Директор по ИБ может стать центральной фигурой процесса трансформации, выстраивая прочные отношения с другими подразделениями и советом директоров, хорошо разбираясь в коммерческих задачах своей организации, а также имея широкие возможности по упреждению возникающих киберугроз.

Для этого надо по-новому взглянуть на привычный ход вещей, а также обладать необходимыми навыками в части общения, сотрудничества и ведения переговоров. Локомотивами перемен станут те руководители, которые не отвергают новые инициативы, а готовы их конструктивно рассматривать.

Служба ИБ воспринимается как помеха на пути инноваций

7%

организаций считают, что их служба ИБ способствует внедрению инноваций, большинство же респондентов полагают, что она ориентирована на соблюдение нормативных требований и слишком осторожна.

    .
  • Лишь 7% организаций считают, что их служба ИБ способствует внедрению инноваций, большинство же полагает, что она ориентирована на соблюдение нормативных требований и чрезмерно осторожна
  • .
  • В качестве главной причины выделения дополнительных средств около половины респондентов (48%) назвали стремление снизить риск, 29% – необходимость соблюдать нормативные требования и лишь 9% – реализацию новых инициатив.
  • В шести случаях из десяти в организациях отсутствует позиция главы службы ИБ, который бы входил в состав совета директоров или исполнительного руководства.
.

Краткие рекомендации EY

Как показывают результаты нашего последнего исследования, сегодня существует реальная возможность придать кибербезопасности качественно новое содержание, сделав ее важнейшей составляющей трансформации бизнеса и инновационного развития. Это потребует сплоченных усилий со стороны совета директоров, высшего руководства, директоров по ИБ и руководителей подразделений по следующим направлениям:

  1. Превращение кибербезопасности в ключевой элемент цифровой трансформации: учет аспектов кибербезопасности на этапе планирования любой новой инициативы. Грамотное использование подхода на основе принципа SbD в целях эффективного управления рисками, связанными с трансформацией, а также своевременной разработки необходимых продуктов или услуг.
  2. Выстраивание доверительных отношений с каждым подразделением: совместный анализ ключевых бизнес-процессов для понимания того, какое влияние могут оказать на них киберриски и каким образом служба ИБ может помочь повысить эффективность работы рассматриваемого подразделения.
  3. Внедрение оптимальных структур управления: разработка КПЭ и ключевых индикаторов риска, которые позволят перейти к риск-ориентированному подходу при подготовке отчетности для исполнительного руководства и совета директоров.
  4. Повышение заинтересованности со стороны совета директоров: умение подобрать нужные слова и количественно оценивать угрозы, чтобы эффективно доводить информацию о киберрисках до сведения совета директоров.
  5. Оценка эффективности службы ИБ в целях развития новых компетенций руководящего состава: определение сильных и слабых сторон службы ИБ в целях получения представления о том, какие именно навыки и как нужно развивать.
  • Что такое встроенная безопасность?

    Принцип встроенной безопасности (SbD) предполагает, что о кибербезопасности организация задумывается уже на этапе планирования своих проектов, а не тогда, когда они идут полным ходом. Чтобы уверенно двигаться по пути инноваций, этот стратегический и практичный подход должен использоваться всеми службами и подразделениями. Он применяется в течение всего жизненного цикла проекта и позволяет контролировать и минимизировать угрозы информационной безопасности.

Краткое содержание

Как показывает новое исследование EY, в отсутствие внешних и внутренних требований служба ИБ и бизнес вообще не соприкасаются. Чтобы преодолеть эту пропасть, руководители службы ИБ должны суметь доходчиво разъяснить свою нужность совету директоров и высшему руководству, а остальным подразделениям следует заниматься вопросами кибербезопасности на протяжении всего жизненного цикла каждого своего проекта.

Об этой статье

Автор

Крис Лавджой

Руководитель отдела по оказанию услуг в области кибербезопасности глобальной организации EY

Гуру в области кибербезопасности и счастливая мать четверых детей. Любит дайвинг, пешие походы и декорировать мебель. Живет в Маклине, штат Вирджиния.