29 июл. 2021
Шесть граней риска: как обнаружить пробелы в понимании киберустойчивости

Шесть граней риска: как обнаружить пробелы в понимании киберустойчивости

Авторы
Николай Самодаев

Партнер EY, руководитель отдела по оказанию услуг в области управления информационными технологиями, ИТ-рисками и кибербезопасностью в России и СНГ

Партнер, эксперт в области кибербезопасности и технологических рисков, совершил 26 прыжков с парашютом.

Елена Егорова

Партнер EY, руководитель группы по оказанию услуг в области бизнес-рисков и внутреннего аудита.

Партнер, эксперт в области внутреннего аудита и управления рисками с более чем 20-летним опытом работы.

29 июл. 2021

Пандемия не создала новых уязвимостей в системе кибербезопасности – она лишь оголила существующие. Мы определили вопросы, на которые стоит обратить внимание.

На сайте Института внутренних аудиторов на русском языке опубликован отчет «Шесть граней риска. Как обнаружить пробелы в понимании киберустойчивости: ключевые вопросы для совета директоров». Материал подготовлен компанией EY совместно с Международным Институтом внутренних аудиторов (IIA), перевод выполнен российским отделением EY в 2021 году.

В 2020 году сложилась необычная ситуация. Пандемия коронавируса вместе со всеми непредвиденными трудностями, которые она с собой принесла, включая перевод сотрудников на удаленную работу, высветила повсеместную уязвимость организаций перед лицом киберугроз, которая усугубляется чрезмерной уверенностью руководства в обратном.

EY и IIA провели детальный анализ, чтобы понять, как и почему у советов директоров складывается искаженное представление о способности их организации защищать себя от кибератак. Командой в составе отраслевых специалистов и научных работников, чей коллективный опыт в области управления киберрисками насчитывает свыше 100 лет, было определено шесть ключевых вопросов. Если они остаются без ответа, это значит, что в цепи управления рисками, по всей вероятности, отсутствует какое-то важное звено.

Институт внутренних аудиторов благодарит EY в России за совместную работу над отчетом и помощь в переводе материала!

Шесть граней риска

Предлагаем внимательно изучить приведенные ниже шесть вопросов на предмет того, сможет ли ваша организация подробно и вдумчиво ответить на каждый из них. Если вы ответили отрицательно хотя бы на один вопрос, внимательно изучите представленный материал, поскольку это может существенным образом повлиять на остальные ответы.

В полной версии отчета подробно рассматривается каждый из вопросов и разъясняется, как утвердительный ответ на них может способствовать устранению пробелов в понимании советом директоров реального положения дел в вашей организации и ее устойчивости к киберугрозам.

Шесть вопросов, на которые совет директоров любой организации должен быть способен дать утвердительный ответ:

  1. Проводила ли недавно ваша организация оценку киберрисков в масштабах всего предприятия? 
  2. Используете ли вы расширенную программу управления данными помимо базовой классификации? 
  3. Предусмотрены ли в вашей программе антикризисного управления мероприятия по противодействию киберугрозам? 
  4. Проводилась ли у вас в последнее время оценка третьих сторон и/или совместных предприятий на предмет киберрисков?  
  5. Учитываются ли аспекты кибербезопасности при планировании аудиторских проверок и используется ли внутренний аудит в качестве инструмента управления киберрисками?   
  6. Проводится ли регламентированная детальная оценка эффективности средств контроля киберрисков вместе с подготовкой соответствующей отчетности?

Краткое содержание

Планомерная работа по получению утвердительного ответа на рассматриваемые в данном материале вопросы – положительный сигнал всем сторонам как внутри организации, так и за ее пределами. Это является свидетельством искренности намерений и энергичных усилий по борьбе с киберрисками. И если хотя бы на один вопрос вы не можете ответить утвердительно, это часто означает, что уверенность совета директоров в устойчивости вашей организации, по сути, является ложной.

Об этой статье

Авторы
Николай Самодаев

Партнер EY, руководитель отдела по оказанию услуг в области управления информационными технологиями, ИТ-рисками и кибербезопасностью в России и СНГ

Партнер, эксперт в области кибербезопасности и технологических рисков, совершил 26 прыжков с парашютом.

Елена Егорова

Партнер EY, руководитель группы по оказанию услуг в области бизнес-рисков и внутреннего аудита.

Партнер, эксперт в области внутреннего аудита и управления рисками с более чем 20-летним опытом работы.