22 июл. 2021

            Измените свое будущее (серфер в шторм)

Кибербезопасность: как остаться на плаву в условиях идеального шторма?

Автор EY Global

Оказание профессиональных услуг

22 июл. 2021

Согласно результатам международного исследования EY по информационной безопасности за 2021 год, директора по информационной безопасности и другие руководители службы безопасности сейчас пытаются сдержать новую волну киберугроз, вызванных коронавирусом.

Коротко
  • Кибербезопасность под угрозой: 81% руководителей отметили, что из-за пандемии COVID-19 компании не уделяют должного внимания управлению киберрисками.
  • Основные три проблемы: недостаточный бюджет, сложность правового регулирования и сложные отношения с бизнес-подразделениями.
  • Если директора по информационной безопасности смогут исправить недостатки посредством перехода на принципы встроенной безопасности, то внесут большой вклад в обеспечение роста в период восстановления.

Международное исследование EY по информационной безопасности (Global Information Security Survey, GISS) за 2021 год показывает, какой разрушительный и несоразмерный удар нанес коронакризис по службе, которая стремится стать локомотивом роста и стратегическим партнером для бизнеса.

По результатам глобального опроса более 1 000 высших руководителей в области безопасности, в том числе информационной, мы выяснили, что основные проблемы, с которыми они сталкиваются, связаны с недостаточным финансированием, разрозненностью в регулировании и отсутствием взаимопонимания со службами, которые в них больше всего нуждаются.

Безусловно, дестабилизация, вызванная мировой пандемией, создала условия для идеального шторма, которыми могут воспользоваться злоумышленники. С момента публикации прошлогоднего исследования значительно выросло количество разрушительных и изощренных атак, многих из которых можно было бы избежать, если бы компании заранее внедрили систему встроенной безопасности на уровне всего бизнеса.

Отношения директоров по информационной безопасности с операционными подразделениями все больше усложняются, в результате чего повышается подверженность киберрискам. Помимо этого, бюджетные ограничения приводят к тому, что директорам по информационной безопасности очень трудно свести концы с концами и найти деньги даже на самое необходимое.

Вероятнее всего, ситуация будет только ухудшаться. Компании готовы инвестировать в технологии и инновации, чтобы обеспечить устойчивость к серьезным изменениям в постковидную эпоху, но многим еще только предстоит справиться с отложенными рисками и потенциальными уязвимостями, которые возникли в процессе трансформации их бизнеса в разгар пандемии.

Директора по информационной безопасности находятся на перепутье. Чтобы справиться со стоящими перед ними сложными и серьезными задачами, они должны действовать незамедлительно. В следующих разделах говорится о том, что руководителям службы кибербезопасности необходимо знать о текущей операционной среде и что нужно сделать для ее трансформации.

Информация об исследовании

.


            Мужчина ловит волну в шторм
(Chapter breaker)
1

Часть 1

Директора по информационной безопасности на перепутье

Время испытаний, перемен и возможностей.

За последний год каждой компании пришлось так или иначе адаптироваться к кризису. В сроки, которые еще недавно казались невозможными, прогрессивные организации внедрили новые клиентоориентированные технологии и облачные инструменты, которые обеспечивали удаленную работу и оставляли канал выхода на рынок открытым.

Однако высокая скорость изменений обошлась многим из них очень дорого. Компании зачастую не учитывали вопросы кибербезопасности в процессе принятия решений либо по недосмотру, либо из необходимости действовать как можно быстрее. В результате новые уязвимости проникли в стремительно развивающуюся среду и продолжают угрожать бизнесу по сей день.

Быстрая трансформация влечет за собой новые риски

На момент подготовки статьи директора по информационной безопасности и их команды могли еще не завершить полную оценку долгосрочного влияния новых технологий на корпоративную систему защиты. И в то же время велика вероятность того, что их коллеги все равно продолжают использовать такие технологии.

«Кризис требовал незамедлительных мер, и поэтому безопасность не принималась во внимание даже тогда, когда организации осваивали системы, которые были им абсолютно незнакомы, – полагает Ричард Уотсон, руководитель практики EY по оказанию консультационных услуг в области рисков кибербезопасности в Азиатско-Тихоокеанском регионе. – Не все компании понимают, что теперь им нужно сделать шаг назад и заняться этими вопросами».

Тем не менее, нежелание решать такие проблемы, причем как можно скорее, влечет серьезные риски. Три четверти (77%) респондентов GISS за этот год сообщили о росте количества серьезных кибератак, в том числе с помощью программ-вымогателей, за последние 12 месяцев, тогда как за год до этого такое увеличение отметили лишь 59% респондентов.

И все же предостережения директоров по информационной безопасности не всегда бывают услышаны. Большинство (56%) опрошенных признают, что при принятии срочных стратегических решений руководство либо вовсе не консультируется со специалистами в области кибербезопасности, либо обращается к ним слишком поздно. И хотя многие утверждают, что это случается «не очень часто», достаточно лишь однажды допустить брешь в защите, чтобы злоумышленники смогли тут же ей воспользоваться.

            МИИБ Рисунок 2

Как следствие, возникает тревога в отношении будущего. «Мы стремимся сделать безопасность нашим главным приоритетом, – говорит Ричард Уотсон. – Однако некоторые компании до сих пор передают проекты в службу безопасности прямо перед их запуском».

В худшем случае директора по информационной безопасности обнаруживают, что их предупреждения игнорируются. В этом году 43% участников GISS признались, что они как никогда раньше сомневаются в своей способности управлять киберугрозами. Но так быть не должно.

TikTok – встроенная безопасность на высоких скоростях

Ролан Клутье, директор по глобальной безопасности развлекательной платформы для просмотра коротких видео TikTok, постоянно принимает активное участие в еженедельных обсуждениях стратегических решений. «Разработка и внедрение новых технологий является непременным условием самых разных процессов, будь то создание стратегии увеличения количества пользователей либо нового способа монетизации или музыкального продукта, – говорит он. – Я уделяю особое внимание анализу последствий существующих и неизвестных угроз, и только потом встраиваю оперативность, безопасность и конфиденциальность по мере создания продукта. Затем я готовлю компанию к потоку новой информации. Как нам удается поспевать за скоростью развития интернета и культуры? Это и есть самое интересное в моей работе».

Киберпреступники выходят на новый уровень

За последний год злоумышленники все чаще использовали новые стратегии – совершали фишинговые атаки на компании с применением вредоносных программ, которые пересылаются сотрудниками, или добавляли бэкдор, позволяющий им использовать коммерческое программное обеспечение после его приобретения клиентами.

Реальность такова, что угроза со стороны хакеров еще никогда не была такой серьезной. Этому способствует растущее применение программ-вымогателей, которые оказались очень эффективными.
Дэйв Бург
Руководитель направления EY по обеспечению кибербезопасности в Северной и Южной Америке

Ставки высоки как никогда. Хакеры, которые атаковали американский трубопровод Colonial Pipeline в мае 2021 года, использовали программу-вымогатель как услугу, которая доступна в дарквебе для других злоумышленников, и это представляет угрозу для критически важных субъектов экономики и общества в целом. В то же время взлом и использование хакерами программного обеспечения SolarWinds в течение нескольких месяцев 2020 года стало следствием изощренной атаки на цепочку поставок, схема которой была в большей степени не знакома службам безопасности.

Атаки киберпреступников становятся все более масштабными, а их тактика – все более непредсказуемой. Лишь каждый третий респондент уверен в своей способности сделать цепочку поставок достаточно надежной и устойчивой, что подчеркивает важность тесного сотрудничества с коллегами из отдела закупок и операционными подразделениями. Менее половины (47%) опрошенных заявили, что они понимают и могут предвосхищать стратегии, которые используют хакеры. В частности, об изобретательности киберпреступников свидетельствуют случаи взлома программного обеспечения до его продажи клиентам.  

Нельзя сказать, что потребность в быстрой трансформации исчезла. На момент подготовки статьи были достигнуты значительные успехи в борьбе с COVID-19, однако потребуется несколько этапов коронакризиса, прежде чем компании вернутся к «нормальности», какой бы она ни была (англ.).

К примеру, работодатели стремятся использовать гибридные модели работы и одновременно с этим реализовать возможности для роста по мере восстановления экономики. Исследование EY «Новый взгляд на организацию труда» за 2021 год (англ.) показало, что 54% респондентов задумались бы об увольнении, если бы работодатель отказался удовлетворить их требования о гибких условиях работы. Директорам по информационной безопасности также следует знать, что половина (48%) сотрудников намерены приобрести новые технологии для удаленной работы, что может привести к еще большим рискам, если компании не смогут перейти к встроенной безопасности.

Директора по информационной безопасности в центре внимания

Для директоров по информационной безопасности наступил критический момент. Если они смогут содействовать в реализации цифровой трансформации начиная с этапа планирования, они внесут неоценимый вклад в обеспечение стратегического роста, что особенно важно сейчас, поскольку, по результатам исследования EY «Первоочередные задачи руководителей компаний» за 2021 год, 68% генеральных директоров планируют значительные инвестиции в данные и технологии в течение следующих 12 месяцев. Если же директора по информационной безопасности не начнут играть более активную роль в трансформации, угрозы безопасности возрастут, а их авторитет в совете директоров снизится.  

Высшее руководство уже обеспокоено тем, сможет ли служба безопасности защитить организацию. Более половины (55%) респондентов отметили, что сегодня кибербезопасности уделяется более пристальное внимание, чем когда-либо за время их работы. Четыре из десяти (39%) компаний ежеквартально включают вопросы кибербезопасности в повестку дня совета директоров (по сравнению с 29% в 2020 году).

Тем не менее, как показывают результаты проведенного EY в 2021 году международного опроса членов советов директоров по рискам (англ.), лишь 9% респондентов совершенно уверены в том, что существующие в их организации меры по минимизации киберрисков способны защитить ее от серьезных кибератак (по сравнению с 20% в предыдущем году).

            МИИБ Рисунок 5

Кризис как время возможностей

Директоров по информационной безопасности, которые способны минимизировать риски и одновременно способствовать росту бизнеса и реализации технологических амбиций, в будущем ждет успех. Большинство это понимают: 57% респондентов считают, что кризис дал службе кибербезопасности возможность повысить свой авторитет.

Дэйв Бург призывает директоров по информационной безопасности с пользой для себя использовать их возросшую востребованность. «Я знаю многих директоров по безопасности, которые считаются суперзвездами в своих организациях, и мы хотим, чтобы эти суперзвезды наконец вышли на авансцену инновационного развития», – говорит он.

Итак, готовы ли директора по информационной безопасности взять на себя новые обязанности и обеспечить рост бизнеса? Могут ли они добиться устойчивости к будущим серьезным помехам в работе компании? Ответ будет утвердительным только в том случае, если сначала они смогут решить три критические и взаимосвязанные проблемы, стоящие на их пути.

  1. Доля расходов компаний на кибербезопасность крайне мала, и это тогда, когда служба информационной безопасности нуждается в финансировании и гибкой поддержке как никогда прежде.
  2. Разрозненность в регулировании влечет за собой все больше трудностей, дополнительной работы и проблем с ресурсами.
  3. Отношения службы кибербезопасности с другими подразделениями ухудшаются, в то время как сейчас совершенно необходимо теснее сотрудничать друг с другом.

            Женщины с досками для серфинга идут вдоль моря
(Chapter breaker)
2

Часть 2

Три сдерживающих фактора для директоров по информационной безопасности

Идеальный шторм для кибербезопасности.

1. Текущий бюджет на кибербезопасность абсолютно недостаточен

Несмотря на растущую угрозу кибератак, бюджет на кибербезопасность крайне мал относительно общих расходов на ИТ. Данные исследования также показывают, что несмотря на необходимость адаптироваться к изменениям, связанным с пандемией, а также возможность новых сбоев в будущем, процесс выделения средств в основном остается негибким.

Kris Lovejoy

Текущие модели финансирования просто не годятся для управления рисками, которые, по сути, несут с собой угрозу для самого существования бизнеса. Это также указывает, что многие компании не до конца осознают опасность киберугроз и не способны создать культуру встроенной безопасности.

Бюджет не отвечает требованиям бизнеса

В рамках исследования EY опросила директоров по информационной безопасности и старших специалистов по кибербезопасности 1 010 компаний. В прошлом году выручка участников опроса в среднем составила около 11 млрд долларов США, при этом ежегодные расходы на информационной безопасности составляли в среднем всего 5,28 млн долларов США, или 0,05% от общей суммы.

Картина варьируется в зависимости от сектора. С одной стороны, в прошлом году участники GISS из таких строго регулируемых секторов, как финансовые услуги и отрасль технологий, медиа, развлечений и телекоммуникаций (TMT), в среднем потратили на кибербезопасность 9,43 млн долларов США и 9,62 млн долларов США соответственно. С другой стороны, компании ТЭК в среднем выделили на эти цели всего 2,17 млн долларов США. Доля затрат на кибербезопасность зависит и от размера организации – чем бизнес меньше, тем она выше.

            МИИБ Рисунок 6

Одна из причин связана с планированием и распределением бюджета. Шесть из десяти (61%) респондентов заявили, что бюджет на безопасность в их организациях является частью более крупных корпоративных расходов, в частности, на ИТ, при этом 19% сообщили, что его размер фиксирован и определяется циклически. Более трети (37%) опрошенных отмечают, что затраты на кибербезопасность разделяются между всеми подразделениями компании, но только 15% делают это в зависимости от используемых ресурсов.

Другими словами, лишь немногие компании рассматривают бюджет на кибербезопасность в качестве переменных и пропорционально распределяемых бизнес-затрат. В связи с этим директору по информационной безопасности может быть сложно масштабировать усилия своей службы в контексте отдельных и быстро развивающихся бизнес-инициатив.

Сокращение затрат приводит к новым брешам

Директора по информационной безопасности хорошо понимают уязвимости, с которыми сталкиваются их организации из-за негибкого и недостаточного бюджета.

Недостаточное финансирование грозит нарушением кибербезопасности

36%

респондентов признались, что могут в любой момент столкнуться с нарушением безопасности, которого можно избежать, если компания увеличит инвестиции в средства киберзащиты.

Четверо из десяти (39%) респондентов отметили, что расходы на кибербезопасность не учитываются должным образом в стоимости стратегических инвестиций, например, связанных с ИТ-трансформацией цепочки поставок. Более трети (36%) опрошенных считают, что могут в любой момент столкнуться с серьезным нарушением безопасности, которого можно избежать, если компания надлежащим образом увеличит инвестиции в средства киберзащиты.

Учитывая то, как организации торопятся трансформировать свою деятельность на фоне происходящих изменений, можно ожидать, что проблема будет только усугубляться по мере того, как бизнес будет инвестировать в будущий рост. Четверо из десяти (39%) респондентов сообщили, что бюджет в их компании недостаточен для решения новых проблем, возникших за последние 12 месяцев.

Бюджетные ограничения неизбежно приводят к тому, что директора по информационной безопасности вынуждены принимать трудные решения и сворачивать некоторые стратегические инициативы, реализация которых началась еще до кризиса. Более половины (56%) представителей компаний с недостаточным бюджетом говорят о том, что им пришлось пересмотреть требования к кибербезопасности. А 44% заявили, что они были вынуждены сократить расходы и сосредоточиться на своей старой архитектуре и системах.

            МИИБ Рисунок 8

И все же некоторые организации придерживаются более стратегического подхода к выделению средств на защиту от киберрисков. Ремо Марини, директор по безопасности Assicurazioni Generali, одного из ведущих мировых страховщиков, утверждает, что финансирование кибербезопасности в его компании основывается на рисках. «Мы выстраиваем прямую взаимосвязь между инвестициями в безопасность, стоимостью бизнеса и снижением рисков, – говорит он. – Наш бюджет отражает сложную работу по планированию, которая начинается с определения стратегии, обычно с горизонтом в три года, и сбора данных от всех внутренних и внешних заинтересованных сторон».

2. Разрозненность в регулировании продолжает создавать трудности для директоров по информационной безопасности

Глобальная нормативно-правовая среда становится все более сложной в связи с особенностями регионального и национального регулирования в разных юрисдикциях. Компании из определенных секторов экономики, в частности, финансовые организации, должны также учитывать отраслевые нормативные требования.

Майк Мэддисон, руководитель практики EY по оказанию консультационных услуг в области кибербезопасности в регионе EMEIA, считает, что правовое регулирование вызывает все большую обеспокоенность: «Международным компаниям крайне сложно разобраться в дублирующих, а иногда и противоречащих друг другу законах, особенно сегодня, когда информация становится общедоступной и распространяется по всему миру».

Потеря драгоценного времени и ресурсов

Вопросы регулирования отнимают время, которого у директоров по информационной безопасности просто нет. Каждый второй (49%) респондент признает, что обеспечение соблюдения нормативных требований может быть самой трудной частью их работы. Шесть из десяти (57%) опрошенных прогнозируют, что в ближайшие годы регулирование станет еще более неоднородным, времязатратным и, можно сказать, хаотичным. Учитывая, что директорам по информационной безопасности и так приходится бороться за необходимые им ресурсы, очевидно, что такие сложности создают для них дополнительный стресс.

«С каждым днем внимание со стороны национальных и международных регуляторов становится все более пристальным, а требования – все более многочисленными, – подтверждает Ремо Марини из Assicurazioni Generali. – Резкое увеличение числа регулирующих документов, в частности, касающихся международных групп, создает определенные сложности. Стандартизированная и единая нормативная база была бы более эффективной».

            МИИБ Рисунок 9

Дополнительную озабоченность, по крайней мере в США, вызывает то, что Министерство юстиции присвоило атакам с использованием программ-вымогателей тот же уровень приоритета, что и терроризму, и координирует расследования через рабочую группу в Вашингтоне. На момент подготовки статьи отсутствовала достоверная информация о том, какие ресурсы будут доступны частным организациям, которые стали жертвами атак.

Законодательные требования: от любви до ненависти

Отношение директоров по информационной безопасности к обеспечению соблюдения требований законодательства кардинально поменялось, что может негативно отразиться на их взаимодействии с регулирующими органами. На момент подготовки прошлогоднего GISS директора по информационной безопасности все еще положительно оценивали роль нормативного регулирования. Однако в этом году они признались, что их мнение изменилось. Регулирование стало настолько фрагментарным и сложным, что теперь лишь затрудняет работу. Законодательные требования больше не помогают директору по информационной безопасности в обосновании бюджета, как это было раньше. Теперь они становятся его врагом. 

Кроме того, в этом году директора по информационной безопасности менее уверены в том, что регулирование способствует повышению стандартов кибербезопасности в организации.

По результатам прошлогоднего GISS 46% респондентов считали, что работа по обеспечению соблюдения нормативных требований помогает задавать правильные поведенческие установки в их организации. В 2021 году этот показатель упал до 35%. В то же время лишь каждый пятый (18%) из опрошенных считает, что регулирование является сильным аргументом в пользу выделения дополнительного бюджета (по сравнению с 29% в 2020 году).

Высшее руководство стало внимательнее относиться к доводам директоров по информационной безопасности о том, что успех трансформации зависит от увеличения расходов на кибербезопасность, но при этом меньше прислушивается к их предостережениям о постоянном росте нагрузки по соблюдению нормативно-правовых требований.

Однако не все руководители службы кибербезопасности настроены пессимистично в отношении регулирования. Ролан Клутье из TikTok говорит, что оно отнимает «по меньшей мере 50% или 60%» его времени, но в целом это его не расстраивает: «Наши стратегические программы безопасности основаны на требованиях следующего поколения, связанных с нормативно-правовым регулированием и защитой потребителей. И это здорово. Мы готовим наши продукты к будущему. Это помогает нам создать ведущую отраслевую концепцию ведения деятельности, основным приоритетом которой является обеспечение безопасности и конфиденциальности наших пользователей по всему миру».

3. Отношения службы кибербезопасности с другими подразделениями ухудшаются

Чтобы управлять киберрисками, связанными со стратегической трансформацией, необходимо консультироваться с директором по информационной безопасности на самых ранних этапах принятия инвестиционных решений. Однако для этого взаимодействие между службой кибербезопасности и другими отделами, без которых проведение таких консультаций невозможно, должно быть более гармоничным и тесным.

Руководство бизнеса игнорирует директоров по информационной безопасности

Директора по информационной безопасности давно обеспокоены натянутыми отношениями с операционными подразделениями, но результаты последнего GISS говорят о том, что проблема только усугубилась. Согласно исследованию, руководство бизнеса зачастую не рассматривают вопросы кибербезопасности в рамках важных обсуждений. Почти шесть из десяти (58%) опрошенных заявили, что их компания иногда внедряет новые технологии в сроки, которые не позволяют провести надлежащую оценку киберрисков или осуществить эффективный надзор за ними.

Дэн Хиггинс, руководитель глобальной практики EY по оказанию консультационных услуг в сфере технологий, обеспокоен тем, что директоров по информационной безопасности привлекают к внедрению новых технологий и решений для обработки данных лишь на поздних этапах. «Крайне важно, чтобы директора по информационной безопасности присутствовали при разработке стратегий и проектировании решений в рамках цифровой трансформации, когда киберриски можно заблаговременно выявить и минимизировать», – говорит он.

Только высшее руководство в силах изменить эту тенденцию. Согласно исследованию EY «Первоочередные задачи руководителей компаний» за 2021 год, генеральные директора больше не считают кибербезопасность своим главным приоритетом, как это было в 2020 году. Теперь их основное внимание направлено на решение проблем, связанных с внедрением новых технологий.

Пандемия еще больше усугубляет ситуацию: 81% компаний игнорируют киберпроцессы и не консультируются со службой кибербезопасности на этапе планирования новых бизнес-инициатив.

«В условиях динамичных изменений на фоне пандемии COVID-19 нужно было действовать максимально быстро, и компании сомневались в том, что их специалисты по кибербезопасности обладают нужными для этого навыками, – говорит Майк Мэддисон. – Правильно ли выстроена корпоративная культура: служба кибербезопасности воспринимается как помеха или те, кто предлагает эффективные решения? Если ответ на этот вопрос вызывал сомнения, подразделения решали действовать без ее участия».

Слабое взаимодействие там, где оно должно быть сильным

Проблема является наиболее острой для подразделений, которые будут разворачивать и масштабировать новые облачные технологии в ближайшие месяцы, что связано с высоким риском хакерских атак с применением программ-вымогателей.

В исследовании этого года 41% респондентов описывают свои отношения с отделом маркетинга как плохие (по сравнению с 36% в прошлом году). В то же время 28% опрошенных так же описывают и свое взаимодействие с руководством операционных подразделений (по сравнению с 23% в прошлом году).

Как следствие, в 2021 году доля респондентов, подтвердивших, что специалисты по кибербезопасности участвуют в обсуждениях на этапе планирования новых бизнес-инициатив, упала до 19% с 36% в прошлом году.

            МИИБ Рисунок 11

Взаимоотношения специалистов по кибербезопасности с отделами разработки продуктов и маркетинга, а также операционными подразделениями оставляют желать лучшего, при этом они хорошо ладят с отделами управления рисками, юридическими и ИТ-службами. По сути, самые доверительные отношения директора по информационной безопасности имеют с теми, кто меньше всего вовлечен в процесс планирования, и это серьезная проблема. Таким образом, киберспециалистов не зовут именно туда, где они больше всего нужны для обеспечения роста бизнеса.

Проблемы с коммуникацией

Слабое взаимодействие между отделами препятствует дальнейшему развитию. Директора по информационной безопасности признаются, что их сотрудникам зачастую не удается четко обосновать необходимость консультаций по вопросам кибербезопасности в категориях коммерческого результата. Более того, бизнес-подразделения могут признавать традиционные сильные стороны службы кибербезопасности, такие как способность контролировать риски, однако не всегда воспринимают ее как стратегического партнера.

«В рамках нашей отрасли я заметил позитивные изменения в парадигме мышления советов директоров : они начинают осознавать, что пренебрежение кибербезопасностью несет в себе серьезные риски для бизнеса, – говорит Даррен Кейн, директор по безопасности NBN Co в Австралии, который поговорил с нами для целей данной статьи, но не принимал участия в исследовании. – Но директорам по информационным технологиям еще предстоит проделать большую работу по устранению коммуникационных барьеров и научиться говорить на менее техническом языке, чтобы помочь совету директоров лучше понять потенциальные бизнес-риски».

Менее половины (44%) респондентов уверены в способности своей команды говорить на одном языке с коллегами, и только 26% полагают, что в этом уверено высшее руководство. Лишь каждый четвертый (25%) из опрошенных убежден, что руководители высшего звена могут охарактеризовать свою службу кибербезопасности как нацеленную на коммерческий результат.

Респонденты признают, что остальные сотрудники, вероятнее всего, считают, что кибербезопасность скорее связана с защитой бизнеса и быстрым реагированием на кризисные ситуации. Несмотря на то, что эти вопросы очень важны, необходимо также уметь общаться, убеждать и укреплять доверие.


            Драматические грозовые тучи и сумеречные лучи на равнинах
(Chapter breaker)
3

Часть 3

Следующий шаг для директоров по информационной безопасности

Директор по информационной безопасности как катализатор создания ценности.

Как должны директора по информационной безопасности решать основные задачи, перечисленные в последнем GISS? Нет сомнений, что им нужно играть более стратегическую и коммерчески значимую роль в своей организации, для чего необходимо перестроить свою команду в локомотив трансформации.

«Директора по информационной безопасности должны играть центральную роль в реализации стратегии компании по трансформации бизнеса и обеспечению долгосрочной ценности», – полагает Эррол Гарднер, вице-президент глобальной организации EY по консультационным услугам. Говоря о том, как директорам по информационной безопасности стать катализатором трансформации, г-н Гарднер добавляет: «Даже если у исполнительного руководства есть все необходимое, чтобы воплотить в жизнь свое видение и успешно трансформировать свой бизнес с помощью технологий, никак нельзя закрывать глаза на киберриски, которые могут возникнуть в процессе».

«В то же время директора по информационной безопасности должны сделать все от них зависящее, чтобы исполнительное руководство правильно понимало ценность инвестиций в кибербезопасность и воспринимало ее как неотъемлемую часть процесса трансформации. Стратегические отношения между директором по информационной безопасности, генеральным директором и другими руководителями высшего звена станут залогом успешной реализации программ трансформации в киберпространстве, безопасном для компании и всех ее сотрудников», – поясняет г-н Гарднер.

Однако есть определенные сомнения в том, что директора по информационной безопасности сумеют укрепить свой авторитет и заручиться поддержкой бизнеса. Согласно международному опросу членов советов директоров по рискам, проведенному EY в 2021 году (англ.), восемь из десяти респондентов считают, что усовершенствование системы управления рисками будет иметь решающее значение для сохранения и создания ценности, однако мы полагаем, что в настоящее время вклад директоров по информационной безопасности в решение этой задачи очевиден далеко не для всех.

Результаты нашего исследования показывают, что директорам по информационной безопасности необходимо выполнить три ключевых шага, чтобы укрепить свои позиции среди операционных подразделений: проанализировать соответствие своей деятельности целям бизнеса, пересмотреть профиль навыков и сосредоточить внимание на четырех основных группах заинтересованных сторон.

Стоит отметить, что эти шаги согласуются с рекомендациями, которые приводятся в нашем отчете за 2020 год, хотя и подверглись некоторому переосмыслению. На самом деле, кризис только подчеркнул их актуальность и высветил важность их правильного применения.

1. Оценить реальное положение дел, проанализировав соответствие своей деятельности целям бизнеса

Как правило, сильные стороны службы кибербезопасности связаны с оценкой ее возможностей, выявлением рисков и построением дорожных карт на будущее.

Директорам по информационной безопасности следует сосредоточить внимание на тех элементах, с которыми ранее многим из них не удавалось успешно справляться. В частности, нужно постараться укрепить отношения с заинтересованными сторонами, обеспечить согласованность с основными целями и задачами бизнеса, а также оценить удовлетворенность своих бизнес-партнеров с точки зрения эффективности услуг по обеспечению безопасности.

Поскольку отношения с бизнес-подразделениями в последние годы ухудшились, сегодня директора по информационной безопасности могут не иметь ориентиров, необходимых для синхронизации усилий с другими отделами и исполнения стратегии, соответствующей целям бизнеса.

            Интеграция кибербезопасности в бизнес-стратегию

2. Пересмотреть профиль навыков, но не требовать невозможного

Для решения организационных проблем, выявленных в ходе исследования, а также принимая во внимание изощренный характер недавних громких кибератак, директорам по информационной безопасности требуется поддержка многопрофильных специалистов, умеющих работать в условиях многозадачности.

Сложность заключается в том, что спектр навыков, необходимых для текущей работы, нужно расширить сразу в нескольких направлениях. Не существует «стандартных» квалификационных требований к киберспециалистам. Директорам по информационной безопасности нужны люди с развитыми техническими навыками, а также умением выстраивать отношения с другими подразделениями. Им нужны те, кто интересуется инновациями и развитием, а также способен выявлять возникающие угрозы и недостатки в системе защиты.

Ниже мы приводим описание профессиональных характеристик для ряда руководящих позиций в области кибербезопасности, появившихся в последние годы несмотря на относительную новизну этой профессии. Каждый руководитель имеет свою специализацию, опирается на свой собственный набор социальных и профессиональных навыков и играет важную роль в удовлетворении меняющихся потребностей бизнеса.

Попытаться найти одного человека, обладающего всеми этими качествами – это как пытаться нанять на работу единорога. Гораздо эффективнее создать команду с оптимальным сочетанием самых различных навыков, где будут учитываться сильные и слабые стороны всех ее участников.

Профиль навыков сегодняшней службы кибербезопасности
Профиль директора по информационной безопасности Специализация Сильные стороны Слабые стороны
Эксперт по безопасности Все вопросы обеспечения безопасности Глубокие предметные знания Отсутствие компетентности в вопросах ведения бизнеса
Консультант по технологиям Технологические решения и инструменты Фокус на технологиях Субъективность
Специалисты по рискам и комплаенсу Риски, средства контроля и комплаенс Преимущество для строго регулируемых секторов Отсутствие технологической компетентности
Ответственные за взаимодействие с бизнесом Интеграция с бизнесом Внутреннее взаимодействие Отсутствие компетентности в области технологий и безопасности
Сотрудники, работающие неполный рабочий день и по совместительству Совмещение обязанностей по кибербезопасности и основной работы Снижение затрат «Мастер во всем и ни в чем»
.

Для построения доверительных отношений с коллегами директорам по информационной безопасности необходимо наладить тесное взаимодействие своих сотрудников с отделами маркетинга, инноваций и прочими подразделениями. «Киберспециалисты имеют репутацию сотрудников, занимающих цокольные этажи офисов, – говорит Даррен Кейн. – Но учитывая, что киберриск теперь является одним из главных операционных рисков любой компании, киберспециалисты должны громче заявить о себе и показать своим коллегам, на что они способны».

3. Движение по всем направлениям: новые ориентиры для заинтересованных сторон

Директорам по информационной безопасности знаком принцип «сдвига влево», согласно которому служба кибербезопасности привлекается к реализации трансформации и разработке продуктов на более ранних этапах.

Однако коронакризис показал, что одного такого подхода уже недостаточно. Мы предлагаем директорам по информационной безопасности двигаться сразу по четырем направлениям: север, восток, юг и запад. На практике это означает укрепление отношений с четырьмя ключевыми группами заинтересованных сторон.

Выполнение требований руководства на «севере» предполагает особое внимание к отчетности и ответственности, а также к формированию бюджета и распределению ресурсов. Смещение фокуса на «восток» к регулирующим органам означает приоритизацию сертификации и аттестации наряду с пониманием особенностей правового регулирования. Сдвиг на «юг» подразумевает совершенствование стандартов и средств тестирования. И, наконец, сдвиг на «запад» означает переход к встроенной безопасности и конфиденциальности, а также сертификации и непрерывному тестированию.

Если директора по информационной безопасности смогут расположиться в центре по отношению к четырем важнейшим заинтересованным сторонам, у них будут все шансы вывести свою службу на новый уровень стратегического влияния.

            Кибербезопасность: заинтересованные стороны

После шторма

Для директоров по информационной безопасности коронакризис стал важным сигналом. Бизнес ждет от специалистов по кибербезопасности защиты от растущих киберугроз, в также содействия в технологической трансформации и реализации новой стратегии развития.  

Многие директора по информационной безопасности справились с поставленной задачей и сегодня приобретают все больший стратегический вес. Но будет справедливым отметить, что кризис высветил и слабые места в системе кибербезопасности и обозначил области, требующие улучшения. В частности, директорам по информационной безопасности необходимо активизировать усилия для перехода к встроенной безопасности и наладить более тесные и доверительные отношения со своими коллегами из состава высшего руководства.

Речь идет не о простой инициативе или цели, которой можно достичь за год, однако именно этот вопрос будет объектом пристального внимания бизнеса. Директора по информационной безопасности должны присутствовать при планировании стратегических инвестиций. И только от них зависит, смогут ли они обеспечить себе место за столом переговоров.  

  • Дополнительная информация об исследовании

    Данные GISS за этот год основаны на результатах опроса директоров по информационной безопасности и других руководителей 1 010 компаний, проведенного с марта по май 2021 года. Директора по информационной безопасности и другие руководители высшего звена составляют 50% респондентов; оставшаяся доля опрошенных представлена ведущими специалистами в области кибербезопасности. Опрос в основном проводился по телефону, а в редких случаях – в режиме онлайн.

    Исследование носило глобальный характер: 43% респондентов представляли Европу, Ближний Восток, Индию и Африку (EMEIA), 36% – Северную и Южную Америку и 20% – Азиатско-Тихоокеанский регион. В опросе приняли участие директора по информационной безопасности или сотрудники в эквивалентной должности из сферы финансовых услуг, потребительских товаров и розничной торговли, здравоохранения и медицины, ТЭК, госсектора, а также из сектора технологий, медиа, развлечений и телекоммуникаций. Годовая выручка каждой компании, охваченной опросом, превышала 1 млрд долларов США.

    Сравнение с результатами исследования за 2020 год выполнялось посредством фиксации данных в течение 2020 и 2021 годов на основе аналогичной выборки участников. Компании с годовой выручкой менее 1 млрд долларов США не были включены в исследование за 2021 год (в отличие от прошлого года).

    Помимо количественного исследования, в период с апреля по июнь 2021 года EY провела серию углубленных обсуждений с ведущими экспертами в области кибербезопасности.

Краткое содержание

Служба кибербезопасности может стать катализатором роста. Однако сначала ей нужно решить вопрос недостаточности бюджета, преодолеть сложности регулирования и укрепить отношения с бизнес-подразделениями.

Об этой статье

Автор EY Global

Оказание профессиональных услуг