Фото: Free-Photos / Pixabay
Во время пандемии COVID-19 организации во всем мире добились значительных успехов в переходе на дистанционный формат работы и сотрудничества. Но распространение цифровизации создает ряд значительных киберугроз, для преодоления которых требуются радикальные культурные изменения на уровне руководителей и владельцев компаний и организаций.
В условиях, когда скорость принятия решений критически важна, команды по IT-безопасности и их руководители должны создать и внедрить практическую культуру безопасности на каждом этапе работы с системами и данными. Создание такой культуры поможет специалистам IT-безопасности строить экосистему защитных механизмов компании. Вот почему такие специалисты должны изменить свои подходы к работе, стать посредниками, которые доносят культуру безопасности до всех сотрудников.
Новый глобальный отчет KPMG From enforcer to influencer построен на серии опросов среди директоров и менеджеров по IT-безопасности крупных компаний из разных отраслей и регионов мира. Он показывает руководителям направлений IT и информационной безопасности, как трансформируется роль современных специалистов по кибербезопасности и на что следует обращать внимание именно сейчас. На основе этого отчета мы подготовили подборку полезных практических советов, которые помогут по-другому взглянуть на обязанности специалистов команды по IT-безопасности, необходимые для содействия реализации бизнес-стратегии компании.
В целом отчет содержит семь ключевых рекомендаций руководителям направлений IT и кибербезопасности (CISO).
1. Думать и действовать, как топ-менеджер
Кибербезопасность стала широко обсуждаемой темой за последние два года: согласно последнему глобальному опросу KPMG CEO Outlook 2021, который проводился среди топ-менеджеров компаний во всем мире, угрозы кибербезопасности входят тройку основных угроз для бизнеса. Топ-менеджеры хорошо осознали, как потеря данных и кибермошенничество могут остановить деятельность компании и уничтожить ее доход и репутацию. Руководители бизнеса, быстро внедряющие цифровые решения, стали осознавать, что слишком быстрое их внедрение без учета и настройки систем безопасности на этапе проектирования может быть слишком рискованным для бизнеса.
Так постепенно приоритеты команды IT-безопасности начали смещаться в сторону решения стратегических задач: установления доверия, обеспечения безопасности разработанных продуктов, построения устойчивых операционных процессов и цепочек поставок.
Руководители направления кибербезопасности должны говорить на языке топ-менеджеров, находить общие интересы и общую точку зрения на вопросы кибербезопасности с руководителями организаций, хорошо разбираться в политиках организации. Специалисты по IT-безопасности становятся лицами, которые всегда на виду и выступают лицом компании, – это способствует укреплению доверия к ним.
2. Расширять круг своих полномочий
Сегодня злоумышленник в одной части мира может заблокировать работу фабрики или порта в тысяче километров от него или навредить веб-сайту клиента глобального банка, поэтому процессы по обеспечению кибербезопасности должны адаптироваться к этим угрозам. Данные стали новой нефтью, возможно, они ценнее физических активов.
Так, обязанности руководителя направления кибербезопасности расширяются и включают безопасность данных, предотвращение разрушительных инцидентов и событий для поддержания операционной устойчивости, взаимодействие с третьими сторонами, соблюдение нормативных требований и помощь в противодействии финансовой преступности. Такой широкий круг полномочий требует от команды по IT-безопасности и ее руководителей налаживания прочных рабочих отношений с руководителями других направлений в организации, таких как директор по рискам (CRO), директор по данным (CDO) и, конечно, директор по информационным технологиям (CIO). Полномочия CISO выходят за пределы защиты как таковой. CISO должны понимать, как восстановить бизнес после киберкризиса, а также как помочь генеральному директору или руководителю бизнеса сохранить доверие клиентов, поставщиков и регуляторных органов.
3. Интегрировать кибербезопасность в организационную ДНК
Кибербезопасность должна быть ключевой составляющей формирования культуры доверия и корпоративной стратегии, а не идеей, приходящей внезапно для решения проблемы. В мире в таких отраслях, как производство и нефтедобыча, безопасность уже стала неотъемлемой частью стратегии компаний: создана культура безопасности, работники инстинктивно избегают рисков и инцидентов, что достигается с помощью инструментов поощрения, оценки и вознаграждения. Руководители направления IT-безопасности должны идти подобным путем и развивать культуру кибербезопасности среди работников. Современные CISO должны умело вести переговоры и сотрудничать с другими руководителями подразделений, чтобы интегрировать кибербезопасность в ДНК организации. Такая интеграция осуществляется через внедрение безопасности в процессы управления, внутренние образовательные программы, а также установление правильного соотношения корпоративных и личных показателей эффективности (KPI).
4. Формировать квалифицированную команду по кибербезопасности и строить партнерство
Отрасль кибербезопасности сталкивается с недостатком квалифицированных специалистов в таких сферах, как облачные технологии, автоматизация производства (OT), data science, работа с большими данными и аналитика, архитектура, моделирование киберрисков.
Руководители подразделений IT-безопасности должны научиться привлекать таланты с нужными навыками вне организации и выстраивать новые партнерские отношения со сторонними компаниями — профессионалами в кибербезопасности. В будущем мы сможем наблюдать, как подразделения по кибербезопасности берут на себя стратегическую и управленческую роль, встраивая культуру кибербезопасности в бизнес.
5. Автоматизировать ручные процессы
Объемы данных будут продолжать увеличиваться, поэтому автоматизация становится обязательным элементом работы любой команды по кибербезопасности. Будь то мониторинг систем обнаружения атак, процесс найма работников, привлечение поставщиков, реагирование на инциденты или комплаенс-проверка, автоматизация уменьшает количество ошибок, что высвобождает время специалистов по IT-безопасности.
Автоматизация уменьшает объем ручных операций и сокращает дефицит кадров, повышает эффективность и помогает достичь лучших результатов в повторяющихся процессах, не требующих вмешательства человека. Все это также поможет встроить безопасность в процессы компании и улучшить пользовательский опыт, а также сократить время реагирования на типичные киберинциденты.
6. Продолжать изучать новые технологии
Специалисты по IT-безопасности продолжают углублять свои знания и накапливать ценный опыт: в сфере искусственного интеллекта (AI), интернета вещей, технологий 4G и 5G, машинного обучения (ML), аналитики больших данных, прогнозной аналитики, а также в области законодательных норм, связанных с защитой данных. Доступ к данным становится безграничным в мире, где все связано со всем. Защита данных сейчас очень важна, компании должны это признать и изменять подход к модели безопасности данных. Политики обработки информации должны усложняться и зависеть от уровня конфиденциальности, а права субъектов данных должны становиться более прозрачными, поскольку страны пристально защищают и отстаивают право контролировать доступ к данным своих граждан внутри и за пределами государства.
7. Укрепить экосистему кибербезопасности
CISO четко осознают сложность и угрозы, возникающие в результате увеличения количества доступов посторонних лиц к данным, включая поставщиков, подрядчиков или партнеров. Сегодня организация является частью сложной экосистемы поставщиков и партнеров, объединенных между собой общими данными и услугами. Перед подписанием любого контракта начинать следует со стандартной процедуры – всесторонней проверки законности и коммерческой привлекательности запланированного соглашения, а также оценки киберрисков контрагента (due diligence), а затем создавать механизмы контроля доступа третьих сторон к данным, если выявлены проблемы с кибербезопасностью со стороны поставщика или партнера.
Поскольку главная задача CISO – держать под контролем и пристальным вниманием киберугрозы, они должны сочетать много ролей и обязанностей как формальных, так и неформальных. Это означает, что специалисты по IT-безопасности становятся своего рода инфлюенсерами, способствуя повышению осведомленности о безопасности среди работников, выстраивая культуру кибербезопасности и кибергигиену в компании. Другими словами, CISO становятся лидерами организаций с достаточным уровнем понимания бизнеса и высоким профессионализмом в технической сфере, умением управлять рисками и находить баланс между угрозами безопасности и преимуществами для бизнеса.
Редакция не несет ответственности за содержание материала и может не разделять мнение его автора