Насколько мы в безопасности? Зачем нам больше денег на безопасность, когда мы только что одобрили расходы в прошлом году? Что вы имеете в виду, у нас было четыре инцидента? Я думал, у тебя все под контролем.
Скорее всего, большинство руководителей служб безопасности и рисков слышали эти вопросы, возможно, несколько раз, от своих советов директоров. Проблема в том, что на эти вопросы нет ответа. Они основаны на преувеличенной, неполной или противоречивой публичной информации и отвлекают от более актуальных вопросов.
По оценкам Gartner, к 2020 году 100 процентам крупных предприятий будет предложено отчитываться перед своими советами директоров о кибербезопасности и технологическом риске не реже одного раза в год. Советы сегодня более осведомлены о рисках безопасности, так как только 15 процентов директоров сообщили, что их советы почти ничего не знают о кибер-рисках, по сравнению с 22 процентами в 2015 году.
Кроме того, советы используют повышенное внимание кибербезопасности для принятия деловых решений. В 2019 году Gartner опрос лидеров в области безопасности и рисков показал, что четверо из каждых пяти респондентов отметили, что риск влияет на решения, принимаемые на уровне совета директоров.
Лидеры безопасности должны иметь возможность дать директорам то, о чем они заботятся, и это им важно. Увеличение доходов компании, если рассматривать с обратной стороны, будет зависеть в том числе и от прямых затрат на управление финансовыми, рыночными, нормативными и брендовыми рисками.
Когда члены совета директоров осознают, насколько важна кибербезопасность, они задают лидерам более сложные и тонкие вопросы, становятся более информированными и более подготовленными к тому, чтобы оспаривать эффективность программ своих компаний. Вот пять общих категорий вопросов, которые совет директоров неизбежно задаст и на которые вы должны быть готовы ответить.
Компромиссный вопрос
Как это звучит: мы на 100 процентов в безопасности? Вы уверены?
Почему спрашивают: подобные вопросы часто задают члены совета директоров, которые не совсем понимают безопасность и влияние на бизнес. Невозможно быть на 100 процентов в безопасности или защищенности. Роль CISO состоит в том, чтобы выявлять зоны наибольшего риска и выделять ограниченные ресурсы для управления ими на основе делового аппетита.
Как реагировать: Начните с чего-то вроде: «Учитывая постоянно меняющуюся природу угроз, невозможно устранить все источники информационного риска. Моя роль состоит в том, чтобы внедрить средства для управления рисками. По мере роста нашего бизнеса мы должны постоянно пересматривать, какой уровень риска уместен. Наша цель - создать устойчивый roadmap, который предусмотрит и шаг за шагом будет развивать информационную безопасность, уравновешивать необходимость защиты в тот или иной период.
Вопрос о ландшафте
Как это звучит: Насколько это плохо? Как насчет того, что произошло в компании XYZ? Как нас сравнивают с другими?
Почему это спрашивают: члены Правления будут сталкиваться с сообщениями об угрозах, статьями, блогами и нормативным давлением, чтобы понять риски. Они всегда будут спрашивать о том, что делают другие, особенно коллегиальные организации. Они хотят знать, как выглядит «погода» и как они выглядят по отношению к другим.
Как ответить: Не угадывайте основную причину проблемы безопасности в другой компании, сообщите: «Я не хочу спекулировать инцидентом в компании XYZ, пока не появится больше информации, но я буду рад продолжить с вами, когда я узнаю больше». Подумайте о том, можете ли вы обсудить серию более широких мер в безопасности, таких как выявление аналогичных недостатков и способов их устранения, как можно обновить планы обеспечения непрерывности бизнеса.
Вопрос о риске
Как звучит: Знаем ли мы, каковы наши риски? Как спать спокойно?
Почему его спрашивают: Правление знает, что принятие риска - это выбор (если они этого не делают, это проблема, которую вам нужно решить). Они хотят знать, что риски компании обрабатываются. CISO должны быть готовы объяснить готовность организации к риску для защиты собственных решений.
Как реагировать: объясните влияние решений в управлении рисками на бизнес и убедитесь, что ваши позиции подтверждаются доказательствами. Вторая часть имеет жизненно важное значение, потому что советы принимают решения на основе допустимого риска. Любые риски, выходящие за пределы допустимого уровня, требуют принятия мер, чтобы перевести их в допустимое состояние. Это не обязательно требует кардинальных изменений в короткие периоды времени; остерегайтесь чрезмерной реакции. Правление будет искать гарантии того, что существующие риски адекватно управляются, и что в некоторых случаях могут быть уместны тонкие, долгосрочные подходы.
Вопрос производительности
Как это звучит: правильно ли мы распределяем ресурсы? Достаточно ли мы тратим? Почему мы тратим так много?
Почему его спрашивают: Правление захочет заверить, что лидеры по безопасности и управлению рисками не стоят на месте. Члены совета захотят узнать о показателях и рентабельности инвестиций.
Как ответить: используйте подход сбалансированной системы показателей, в котором верхние уровни выражают эффективность проведенных мероприятий, при текущих уровнях затрат.
Подведем итоги
Подумайте над нашими советами и как применить их в своей практике и в текущих обстоятельствах, не делайте поспешных выводов, но точно попробуйте самостоятельно найти аналогичные ответы для своих руководителей. Ждем от вас комментариев и новых идей.
