Эффективному надзору за киберрисками препятствует взаимная нехватка знаний и навыков:
● руководители недостаточно знают о том, какие риски в себе несет опасность утечки данных;
● эксперты по кибербезопасности не знают, как поместить киберриски в соответствующий контекст и донести информацию до руководства.
Эта нехватка знаний усугубляется другими факторами, в том числе изменяющимися от периода к периоду методами измерения киберрисков и отсутствием контекста, показывающего, как и почему определенные действия и затраты имеют значение.
«Вы [эксперты по кибербезопасности] должны говорить о киберрисках в экономических терминах».
Боб Зукис, основатель и генеральный директор Digital Directors Network (DDN), организации, миссия которой заключается в оказании помощи советам директоров в понимании и управлении киберрисками, а также в повышении способности специалистов по безопасности представлять риски с точки зрения бизнеса.
Предоставление информативного отчета о кибербезопасности и донесение его смысла до руководства представляет собой одну из самых сложных проблем. Не существует единой стандартной системы измерения кибербезопасности и киберрисков. Каждая организация выбирает свою предпочтительную модель.
Большинство респондентов говорят, что информация о кибер-рисках для руководителей включает по крайней мере несколько показателей. Как видно из графика выше, в большинстве случаев это общее состояние/уровень риска плюс некоторые контрольные показатели. При этом самый распространенный тип используемых показателей — технические.
Минус такого подхода в том, что многие технические показатели бесполезны для руководителей и советов директоров, оценивающих кибер-риски, если они предоставляются без определенного контекста. Необходимо не просто демонстрировать показатели, а пояснять, что они означают с точки зрения защиты ценности организации. Для руководителей важно уметь определять аспекты организации, представляющие наибольшую ценность и находящиеся под угрозой. От специалистов по кибербезопасности они хотят услышать ответ на вопрос:
❔ достаточно ли они тратят, чтобы защитить эти аспекты?
Путаницу усугубляет то, что организации от отчета к отчету меняют метрики или фреймворки. Например, в одном квартальном отчете речь идет о количественной оценке рисков, а в следующем — об определенных показателях и их динамике. Такое смешение обычно сбивает с толку советы директоров и руководителей — им сложно отследить фактические изменения показателей и их взаимосвязь с затратами.
Важным аспектом контекста предоставления данных является согласование возможности возникновения риска с толерантностью к риску.
Пример MASTERCARD
Mastercard использует систему под названием Факторный анализ информационного риска (FAIR) для количественной оценки риска. Руководители определяют склонность к риску, учитывая такие факторы как вероятность кибератаки, и отмечают, какие меры кибербезопасности применяются для снижения этого риска. В отчете от службы безопасности, руководители и правление видят визуальное представление уровней риска в виде сетки: все, что находится в верхнем правом квадранте сетки, действительно подвержено высокому риску. Подобная оценка является непрерывной и подразумевает под собой динамическое управление рисками, а не просто оценку в конкретный момент.
Несмотря на то, что 81% респондентов в опросе Harvard Business Review заявили, что кибербезопасность является высоким или чрезвычайно высоким приоритетом в их организациях, около 70% также согласны с тем, что другие аспекты бизнеса имеют больший приоритет. Эти, «другие» аспекты почти всегда касаются доходов. Вот почему самый надежный способ привлечь внимание руководства к киберрискам — это перевести их в финансовые термины.
Вывод:
Чтобы кибербезопасности в компании уделялось должное внимание и выделялся необходимый бюджет, может быть рекомендовано соблюсти следующие условия:
📌 эксперты по кибербезопасности компании должны сократить в отчетности технические показатели и оценить киберриск в экономических терминах и показателях;
📌 в отчетности по киберезопасности необходимо использовать последовательные показатели оценки от квартала к кварталу;
📌 руководители — как с технической, так и с деловой стороны — должны согласовать бюджеты на кибербезопасность и определить ключевые аспекты ценности организации, нуждающиеся в защите;
📌 обсуждение кибербезопасности должно быть сосредоточено не на том, произойдет ли атака, а на том, когда она произойдет и как минимизировать ее негативные последствия.