Только начав с оценки критически важной бизнес-деятельности, а не с технологий, ваша компания поймет, как выстроить адекватную систему кибербезопасности: какие программы купить и какие действия предпринять. Излишний фокус на технологиях также отвлекает внимание от других факторов, влияющих на эффективность продуктов кибербезопасности в значительно большей степени, чем сложность их функционала. Сюда относятся мотивация, стимулы и приоритеты людей, которые пользуются этими продуктами или играют иную роль в защите компании.
Мы не раз сталкивались с ситуациями, когда, например, сотрудники сознательно обходили меры безопасности, мешающие им работать. Иногда мы также наблюдали, как специалисты ослабляли киберзащиту, чтобы избежать дополнительной нагрузки и давления коллег: высокий уровень кибербезопасности вызывал ложные тревоги или нарушал бизнес-процессы. То, насколько эффективно работает команда кибербезопасности, зависит от ее места в структуре компании. Если у руководства другие приоритеты, сотрудники, отвечающие за борьбу с киберугрозами, могут не получить необходимого финансирования и полномочий.
Если компания собирается совершенствовать киберзащиту, необходим правильный катализатор – участие руководства, ваше участие в том числе. Мы считаем, что в основе многих проблем кибербезопасности лежат слабые стороны корпоративного управления, а значит, повысить его эффективность – лучший способ нивелировать риски.
Управление кибербезопасностью начинается «сверху», с совета директоров и топ-менеджмента. Отсюда оно распространяется на всю организацию, что влечет за собой как смещение ответственности (от технических специалистов к высшему руководству), так и смену угла зрения (с технологий на бизнес, его процессы, стратегию и крупные ставки, а также риски, вызванные кибератаками).
Вы представляете ключевые интересы компании в долгосрочной перспективе. Вы отвечаете за ее состояние, развитие и рост. У вас есть полномочия, чтобы инициировать перемены в общей стратегии кибербезопасности. Вы можете вмешаться там, где не справляются рыночные механизмы и не помогают правительственные постановления.
Многие директора говорили нам, что кибербезопасность – сфера сложная, если не непостижимая. Они признавались, что принимают инвестиционные решения, не опираясь на надежные данные и не до конца понимая суть тех или иных технологий. Многие считают, что кривая обучаемости в этой области слишком крута; другие рассказывают, что не знают, какие вопросы задавать и как оценивать ответы. Часто руководству приходится полагаться на пространные заявления IT-отдела или команды кибербезопасности в духе «здесь все в порядке, но нужно поработать там». Подкованные в технологиях руководители, возможно, и занимаются проблемой