Для каждой новой технологии, которую изобретают специалисты по кибербезопасности, злоумышленники найдут способ ее обойти, это только вопрос времени. Нам нужны новые подходы к руководству, поскольку мы переходим к следующему этапу обеспечения безопасности наших организаций. Для советов директоров (СД) это требует разработки новых способов выполнения их фидуциарной ответственности перед акционерами и надзорной ответственности за управление бизнес-рисками. Директора больше не могут отказываться от надзора за кибербезопасностью или просто делегировать его операционным менеджерам. Они должны быть знающими лидерами, которые отдают приоритет кибербезопасности и лично демонстрируют свою приверженность. Многие режиссеры знают об этом, но все равно ищут ответы, как действовать дальше.
Мы провели опрос, чтобы лучше понять, как советы директоров справляются с кибербезопасностью. Мы спросили их, как часто совет директоров обсуждает кибербезопасность, и обнаружили, что только 68% респондентов ответили регулярно или постоянно. К сожалению, 9% сказали, что это не обсуждалось их советом директоров.
Когда дело доходило до понимания роли правления, было несколько вариантов. Хотя 50% респондентов заявили, что обсуждалась роль совета директоров, единого мнения о том, какой должна быть эта роль, не было. Предоставление указаний операционным менеджерам или руководителям высшего звена рассматривалось как роль совета директоров 41% респондентов, участие в кабинетных учениях (TTX) упоминалось 14% респондентов, а общая осведомленность или «готовность реагировать, но нужен совет» отметили 23% директоров. Но 23% респондентов также заявили, что у них нет плана или стратегии совета директоров.
Основываясь на наших выводах, мы разработали следующие рекомендации о том, что нужно знать советам директоров, какие практические шаги могут предпринять директора, а также умные вопросы, которые вам следует задать на следующем собрании.
Пять вещей, которые директора должны знать о кибербезопасности.
- Кибербезопасность — это больше, чем просто защита данных.
В «старые времена» защита организаций от киберинцидентов в первую очередь рассматривалась как защита данных. Руководителей компании беспокоит утечка личной информации, кража списков клиентов и мошенническое использование кредитных карт. Это все еще проблемы, но кибербезопасность — это больше, чем просто защита данных. Поскольку мы оцифровали наши процессы и операции, подключили наши промышленные комплексы к системам управления, которые позволяют удаленно управлять крупным оборудованием, и связали наши цепочки поставок с автоматическими процессами заказа и выполнения, кибербезопасность заняла гораздо более важное место в нашем ландшафте угроз. Плохой надзор может означать больше, чем оплата штрафов, потому что данные не были защищены должным образом. Директорам нужна реальная картина киберфизических и киберцифровых угроз, с которыми сталкиваются их организации.
- СД должны быть осведомленными участниками надзора за кибербезопасностью.
Роль СД заключается в том, чтобы убедиться, что у организации есть план, и она подготовлена настолько, насколько это возможно. Написание плана не входит в обязанности правления. Существует множество фреймворков, которые могут помочь организациям в реализации их стратегии кибербезопасности. Нам нравится NIST Cybersecurity Framework, разработанная Национальным институтом стандартов и технологий США (NIST) . Это просто и дает руководителям и директорам хорошую структуру для продумывания важных аспектов кибербезопасности. Но он также имеет много уровней детализации, которые киберпрофессионалы могут использовать для установки элементов управления, процессов и процедур. Эффективное внедрение NIST может подготовить организацию к кибератаке и смягчить негативные последствия после атаки.
Структура NIST имеет 5 областей: идентификация, защита, обнаружение, реагирование и восстановление. Организации, хорошо подготовленные к киберинцидентам, задокументировали планы для каждой из этих областей структуры NIST, поделились этими планами с руководителями и отработали действия, которые необходимо предпринять для наращивания мышечной памяти для использования в ситуации взлома.
- Советы должны сосредоточиться на рисках, репутации и непрерывности бизнеса.
Когда специалисты по кибербезопасности разрабатывают политики и методы, основной триадой целей является обеспечение конфиденциальности, целостности и доступности, как систем, так и данных («ЦРУ» кибербезопасности). Это необходимо, но обсуждение будет сильно отличаться от обсуждения целей риска, репутации и непрерывности бизнеса, которые являются ключевыми проблемами Совета директоров.
В то время как совет обычно разрабатывает стратегию управления бизнес-рисками, специалисты по кибербезопасности концентрируют свои усилия на техническом, организационном и операционном уровнях. Языки, используемые для управления бизнесом и управления кибербезопасностью, различаются, и это может затруднить понимание реального риска и лучшего подхода к его устранению. Возможно, поскольку кибербезопасность является довольно сложной технической областью, правление может не полностью осознавать киберриски и необходимые защитные меры, которые необходимо принять. Но есть действенные подходы к решению этой проблемы.
Директорам не обязательно становиться экспертами в области кибербезопасности (хотя наличие одного из них в совете директоров — хорошая идея). Сосредоточив внимание на общих целях: обеспечении безопасности организации и непрерывности работы, можно сократить разрыв между ролью совета директоров и ролью специалистов по кибербезопасности. Первым шагом является установление четкой и последовательной коммуникации для обмена полезными и объективными показателями информации, средств управления системами и поведения людей. Сравнение с существующими передовыми практиками и методологиями управления рисками кибербезопасности — еще одна деятельность по выявлению областей потребностей и сильных сторон в организации. Директора, задающие умные вопросы своим руководителям по кибербезопасности, — это еще одно третье действие, позволяющее сократить разрыв.
- Преобладающий подход к защите – «глубина».
Ряд многоуровневых защитных мер может защитить ценную информацию и конфиденциальные данные, поскольку сбой в одном из защитных механизмов может быть подкреплен другим, потенциально препятствующим атаке и направленным на различные направления атак. Этот многоуровневый подход обычно называют «замковым подходом», потому что он отражает многоуровневую защиту средневекового замка, позволяющую избежать атак извне.
Уровни защиты часто включают технологии, элементы управления, политику и организационные механизмы. Например, брандмауэры (а многие компании имеют несколько брандмауэров), инструменты управления идентификацией и доступом, шифрование, тестирование на проникновение и многие другие технологические средства защиты, которые обеспечивают барьеры или обнаружение нарушений. Технологии искусственного интеллекта обещают усилить эти барьеры по мере возникновения новых и постоянных угроз. Но технологии сами по себе не могут обеспечить нам достаточную безопасность. Центры управления безопасностью (ЦУБ – англ. SOC) обеспечивают надзор и участие человека, чтобы замечать вещи, которые пропускают технологии, как это было в случае взлома SolarWinds, когда проницательный сотрудник заметил что-то необычное и провел расследование. Но даже SOC не могут обеспечить 100% безопасность организации.
Политика и процедуры необходимы для выполнения требований контроля, и они устанавливаются руководством. И, честно говоря, в современном мире нам нужно, чтобы каждый человек в наших организациях обеспечивал определенный уровень защиты. Как минимум, каждый должен знать о мошенничестве и попытках социальной инженерии, чтобы не стать жертвой. Кстати, сюда входят и директора, которые также являются мишенями и должны знать достаточно, чтобы их не поймали на ложных электронных письмах или уведомлениях.
- Кибербезопасность — это организационная проблема, а не только техническая.
Многие проблемы кибербезопасности возникают из-за человеческого фактора. Исследование Стэнфордского университета показало, что 88% инцидентов с утечкой данных были вызваны ошибками сотрудников. Объединение всех сотрудников, а не только команды кибербезопасности, вокруг методов и процессов для обеспечения безопасности организации — это не техническая проблема, а организационная. Кибербезопасность требует осведомленности и действий со стороны всех членов организации, чтобы распознавать аномалии, предупреждать лидеров и, в конечном счете, снижать риски.
Наше исследование в Массачусетском технологическом институте показывает, что лучше всего этого можно добиться, создав культуру кибербезопасности. Мы определяем «культуру кибербезопасности» как среду, наполненную взглядами, убеждениями и ценностями, которые мотивируют поведение в области кибербезопасности. Сотрудники не только следуют своим должностным инструкциям, но и последовательно действуют для защиты активов организации. Это не означает, что каждый сотрудник становится экспертом по кибербезопасности; это означает, что каждый сотрудник несет ответственность за контроль и поведение, как если бы он или она были «поборником безопасности». Это добавляет человеческий уровень защиты, чтобы избежать, обнаружить и сообщить о любом поведении, которое может быть использовано злоумышленником.
Лидеры задают тон для определения приоритетов такой культуры, но они также укрепляют и персонифицируют ценности и убеждения для действий. БПК также играет роль в этом. Просто задавая вопросы о кибербезопасности, директора подразумевают, что это важная тема для них, и это посылает сигнал о том, что это должно быть приоритетом для корпоративных руководителей.
Вопросы, которые ваше правление должно услышать.
Вот список из семи вопросов, которые следует задать, чтобы убедиться, что ваше правление понимает, как ваша организация управляет кибербезопасностью. Просто задав эти вопросы, вы также повысите осведомленность о важности кибербезопасности и необходимости расставить приоритеты в действиях.
- Каковы наши самые важные активы и как мы их защищаем?
Мы знаем, что не можем быть в безопасности на 100%. Приходится принимать сложные решения. Совет директоров должен убедиться, что наиболее важные активы организации защищены на самом высоком уровне. Это данные ваших клиентов, ваши системы и операционные процессы или IP вашей компании? Спросить, что защищается и что необходимо защитить, является важным первым шагом. Если нет соглашения о том, что защищать, остальная часть стратегии кибербезопасности является спорной.
- Какие уровни защиты мы установили?
Защита осуществляется с помощью нескольких уровней защиты, процедур и политик, а также других подходов к управлению рисками. Правлениям не нужно принимать решение о том, как реализовать каждый из этих уровней, но BOD необходимо знать, какие уровни защиты существуют и насколько хорошо каждый уровень защищает организацию.
- Как мы узнаем, что нас взломали? Как мы обнаруживаем нарушение?
BOD будет игнорировать важную часть своей фидуциарной ответственности, если он не гарантирует, что организация имеет возможности, как для защиты, так и для обнаружения. Поскольку многие нарушения не обнаруживаются сразу после их возникновения, совет директоров должен убедиться, что ему известно, как обнаруживается нарушение, и согласен с уровнем риска, возникающим в результате такого подхода.
- Каковы наши планы реагирования в случае инцидента?
Если требуется выкуп, какова наша политика в отношении его выплаты? Хотя правление вряд ли будет частью подробного плана реагирования, БПК хочет быть уверенным в наличии такого плана. Какие руководители и лидеры являются частью плана реагирования? Какова их роль? Каковы планы связи (в конце концов, если системы взломаны или ненадежны, как мы будем общаться?). Кто оповещает власти? Какие органы предупреждены? Кто общается с прессой? Наши клиенты? Наши поставщики? Наличие плана имеет решающее значение для адекватного реагирования. Крайне маловероятно, что план будет выполнен точно так, как задумано, но вы не хотите ждать, пока произойдет нарушение, чтобы начать планировать, как реагировать.
- Какова роль правления в случае инцидента?
Для BOD было бы полезно знать, какова будет их роль, и практиковать ее. Роль совета директоров состоит в том, чтобы решать, платить выкуп или нет, разговаривать с крупнейшими клиентами, быть доступным для экстренных встреч с руководителями организаций для принятия своевременных решений? В одной из наших предыдущих статей обсуждалась важность отработки ответов . Использование пожарных учений и настольных упражнений для развития мышечной памяти звучит как роскошь, но если в вашей компании произойдет инцидент, вы должны быть уверены, что мышцы реагирования готовы к работе.
- Каковы наши планы восстановления бизнеса в случае киберинцидентов?
Многие руководители, с которыми мы беседовали, не проверяли свои планы восстановления бизнеса. Могут быть значительные различия в восстановлении после сбоя в бизнесе из-за киберинцидента. Восстановление данных может быть другим, если все записи уничтожены или повреждены злоумышленником, который шифрует файлы или манипулирует ими. СД хотят знать, кто «владеет» восстановлением бизнеса, есть ли план того, как это сделать, и был ли он протестирован с учетом кибер-инцидентов?
- Достаточно ли наших инвестиций в кибербезопасность?
Вы не можете инвестировать достаточно, чтобы быть на 100% в безопасности. Но поскольку должен быть установлен бюджет, крайне важно, чтобы компании гарантировали, что у них есть отличная команда безопасности с соответствующим опытом для решения технических проблем и понимания уязвимостей в основных критически важных функциях бизнеса. Таким образом, компания будет лучше подготовлена к размещению инвестиций там, где они наиболее необходимы. Компании должны оценить свой уровень защиты и свою устойчивость к риску, прежде чем приступать к новым инвестициям. Это можно сделать двумя способами: с помощью моделирования кибератак и с помощью тестов на проникновение/уязвимость. Эти действия выявляют уязвимости, позволяют минимизировать потенциальный ущерб в зависимости от приоритета, подверженности риску и бюджета и, в конечном счете, обеспечивают надлежащее вложение времени, денег и ресурсов.
Советы директоров играют уникальную роль, помогая своим организациям справляться с угрозами кибербезопасности. У них нет повседневных обязанностей по управлению, но они несут надзорную и фидуциарную ответственность. Не оставляйте вопросы о критических уязвимостях на завтра. Если вы зададите умные вопросы на следующем собрании совета директоров, это может предотвратить превращение киберинцидентов в полную катастрофу.
Перевод статьи «7 Pressing Cybersecurity Questions Boards Need to Ask»