Что делать, если руководители отмахиваются от расходов на ИБ, как от назойливых мух
Аналитики компании EY советуют ИТ-каналу, разговаривая с клиентами, говорить об ИБ-рисках в контексте бизнес-рисков, ибо цифровая экономика и ИБ в настоящее время неразделимы. Об этом специалист компании EY Шивон Макдермотт (Siobhan MacDermott) рассказала в ходе конференции FireEye Cyber Defense Summit, прошедшей в Вашингтоне.
«Кибер-риски должны оцениваться в группе таких рисков, как, например, геополитические риски. Тогда большинство из руководителей вас поймут, даже если они не являются специалистами в ИТ», - отмечает этот специалист.
Макдермотт отметила, что большинство менеджеров не столько боятся хакеров, сколько опасаются, что в случае утечки данных об этом станет известно прессе, а это, в свою очередь, нанесет компании финансовый и репутационный ущерб.
С выступлением г-жи Макдермотт перекликается текст «Why Is Your Board of Directors Finally Asking About Cyber Risks?», подготовленный порталом Security Intelligence. Учитывая, что кибер-риски - это, на самом деле, экономические риски, невнимательность в вопросе информационной безопасности может стоить американскимкомпаниям расследования со стороны властей, а также привести к многочисленным судебным искам от клиентов.
Порталу вторит компания KPMG, которая видит основные бизнес-риски в области ИБ следующим образом: возможность судебных исков, ущерб репутации и потеря клиентов.
Но руководство компаний часто игнорирует вопросы ИБ и затягивает с решением вопросов в этой области. Почему? По мнению специалистов компании EY, это происходит потому, что для руководителей предприятий вопросы ИБ находятся в ряду множества других важных вопросов. Кроме того, вопросы кибер-безопасности часто просто делегируются ИТ-отделу, и руководство считает, что ему не стоит вникать в технические моменты. Особенно учитывая, что менеджеры часто не могут объективно оценить ИБ-риски, а если и принимают какие-то решения, то чаще всего фокусируются исключительно на предупреждении проблем и выстраивании «кибер-стен», игнорируя такие вопросы, как обнаружение инцидентов и реакцию на произошедшие инциденты.
Впрочем, времена меняются, и все больше руководителей понимают, что ИБ-риски это бизнес-риски, и оставлять эту область «безнадзорной» рискованно. Так, в отчете EY «Cyber Program Management» содержится совет руководству компании заслушивать отчет о состоянии ИБ в компании как минимум раз в квартал.
А Робин Бью (Robyn Bew), директор по исследованиям ассоциации NACD (National Association of Corporate Directors), советует руководителям компании задать себе три важных вопроса: а) понимаем ли мы природу кибер-рисков, которые угрожают именно нашей компании; б) поддерживаем ли мы качественный диалог со специалистами по вопросам ИБ; в) что мы делаем, чтобы быть в курсе событий на фоне постоянной эволюции кибер-рисков.
