Фото: Free-Photos / Pixabay
Під час пандемії COVID-19 організації в усьому світі досягли неабияких успіхів у переході на дистанційний формат роботи та співпраці. Але поширення цифровізації створює низку великих кіберзагроз, для подолання яких потрібні радикальні культурні зміни на рівні керівників і власників компаній та організацій.
В умовах, коли швидкість ухвалення рішень надзвичайно важлива, команди з IT-безпеки та їхні керівники мають створити та впровадити практичну культуру безпеки на кожному етапі роботи із системами та даними. Створення такої культури допоможе фахівцям з IT-безпеки будувати екосистему захисних механізмів компанії. Тому ці фахівці мають змінити свої підходи до роботи, стати посередниками, які доносять культуру безпеки до всіх співробітників.
Новий глобальний звіт KPMG From enforcer to influencer побудований на серії опитувань серед директорів і менеджерів з IT-безпеки великих компаній із різних галузей та регіонів світу. Він показує керівникам напрямків IT та інформаційної безпеки, як трансформується роль сучасних фахівців із кібербезпеки та на що треба звертати увагу саме тепер. На основі цього звіту ми підготували добірку корисних практичних порад, які допоможуть інакше подивитися на обов`язки фахівців команди з IT-безпеки, потрібні для сприяння реалізації бізнес-стратегії компанії.
Звіт пропонує сім основних рекомендацій керівникам напрямків IT та кібербезпеки (CISO):
1. Думати та діяти, як топменеджер
Кібербезпека стала широко обговорюваною темою за останні два роки: згідно з останнім глобальним опитуванням KPMG CEO Outlook 2021, яке проводилося серед топ-менеджерів компаній в усьому світі, загрози кібербезпеці входять у трійку основних загроз для бізнесу. Топменеджери добре усвідомили, як втрата даних та кібершахрайство можуть зупинити діяльність та знищити дохід і репутацію. Керівники бізнесу, які швидко впроваджують цифрові рішення, стали усвідомлювати, що занадто швидке їх впровадження без огляду на системи безпеки та їх налаштування на етапі проєктування може бути дуже ризиковане для бізнесу.
Так поступово пріоритети команди з IT-безпеки почали зміщуватися в бік вирішення стратегічних завдань: установлення довіри, убезпечення розроблених продуктів, побудови сталих операційних процесів і ланцюжків постачань.
Керівники напрямку кібербезпеки мають говорити мовою топменеджерів, знаходити спільні інтереси та виробляти спільний погляд на питання кібербезпеки з керівниками організацій, добре знатися на політиках організації. Фахівці з IT-безпеки стають особами, які завжди на видноті та є обличчям компанії, – це сприяє зміцненню довіри до них.
2. Розширювати коло своїх повноважень
Сьогодні зловмисник в одній частині світу може заблокувати роботу фабрики чи порту за тисячу кілометрів від нього або нашкодити вебсайту клієнта глобального банку, тому процеси забезпечення кібербезпеки мають адаптуватися до цих загроз. Дані стали новою нафтою, можливо, вони цінніші за фізичні активи.
Отже, обов'язки керівника напрямку кібербезпеки розширюються та охоплюють безпеку даних, запобігання руйнівним інцидентам та подіям для підтримання операційної стійкості, взаємодію з третіми сторонами, дотримання нормативних вимог і допомогу в протидії фінансовій злочинності. Таке широке коло повноважень потребує від команди з IT-безпеки та її керівників налагодження міцних робочих стосунків із керівниками інших напрямків в організації, зокрема з директором з ризиків (CRO), директором з даних (CDO) та, звичайно, директором з інформаційних технологій (CIO). Повноваження CISO виходять за межі захисту як такого. CISO повинні розуміти, як відновити бізнес після кіберкризи, а також допомогти генеральному директору або керівнику бізнесу зберегти довіру клієнтів, постачальників і регуляторних органів.
3. Інтегрувати кібербезпеку в організаційну ДНК
Кібербезпека має бути основною складовою формування культури довіри та корпоративної стратегії, а не ідеєю, яка приходить раптово для вирішення проблеми. У світі в таких галузях, як виробництво та нафтовидобуток, безпека вже стала невід'ємною частиною стратегії компаній: створено культуру безпеки, працівники інстинктивно уникають ризиків та інцидентів, що досягається за допомогою інструментів заохочення, оцінки та винагороди. Керівники напряму IT-безпеки мають іти подібним шляхом та розвивати культуру кібербезпеки серед працівників. Сучасні CISO повинні вміло вести переговори та співпрацювати з іншими керівниками підрозділів, щоб інтегрувати кібербезпеку в ДНК організації. Така інтеграція здійснюється через впровадження безпеки в процеси управління, внутрішні освітні програми, а також встановлення правильного співвідношення корпоративних та особистих показників ефективності (KPI).
4. Формувати кваліфіковану команду з кібербезпеки та будувати партнерство
Галузь кібербезпеки наразі стикається з нестачею кваліфікованих фахівців у таких сферах, як хмарні технології, автоматизація виробництва (OT), data science, робота з великими даними та аналітика, архітектура, моделювання кіберризиків.
Керівники підрозділів IT-безпеки повинні навчитися залучати таланти з потрібними навичками поза організацією та будувати нові партнерські відносини зі сторонніми компаніями — професіоналами в кібербезпеці. У майбутньому ми зможемо спостерігати, як підрозділи з кібербезпеки беруть на себе стратегічну та управлінську роль, вбудовуючи культуру кібербезпеки в бізнес.
5. Автоматизувати ручні процеси
Обсяги даних продовжуватимуть збільшуватися, тому автоматизація стає обов’язковим елементом роботи будь-якої команди з кібербезпеки. Незалежно від того, вдбувається моніторинг систем виявлення атак, процес найму працівників, залучення постачальників, реагування на інциденти або комплаєнс-перевірка, автоматизація зменшує кількість помилок, що вивільняє час фахівців з IT-безпеки.
Автоматизація зменшує обсяг ручних процесів та скорочує дефіцит кадрів, підвищує ефективність та допомагає досягнути кращих результатів у процесах, які повторюються та не потребують втручання людини. Усе це також може допомогти вбудувати безпеку в процеси компанії та покращити користувацький досвід, а також скоротити час реагування на типові кіберінциденти.
6. Продовжувати вивчати нові технології
Фахівці з IT-безпеки продовжують поглиблювати свої знання та накопичувати цінний досвід: у сфері штучного інтелекту (AI), інтернету речей, технологій 4G та 5G, машинного навчання (ML), аналітики великих даних, прогнозної аналітики, а також у сфері законодавчих норм, пов`язаних із захистом даних. Доступ до даних стає безмежним у світі, де все пов`язано зі всім. Захист даних натепер украй важливий, компанії мають це визнати та змінювати підхід до моделі безпеки даних. Політики оброблення інформації мають складнішати та залежати від рівня конфіденційності, а права суб’єктів даних мають ставати більш прозорі, оскільки країни пильно захищають та відстоюють право контролювати доступ до даних своїх громадян у межах та поза межами держави.
7. Зміцнити екосистему кібербезпеки
CISO чітко усвідомлюють складність та загрози, що виникають внаслідок збільшення кількості доступів до даних сторонніх осіб, зокрема постачальників, підрядників або партнерів. Сьогодні організації – частина складної екосистеми постачальників та партнерів, об’єднаних між собою спільними даними та послугами. Перед підписанням будь-якого контракту починати треба зі стандартної процедури – всебічної перевірки законності та комерційної привабливості запланованої угоди, а також оцінки кіберризиків контрагента (due diligence), а далі створювати механізми контролю доступу третіх сторін до даних, якщо виявлені проблеми з кібербезпекою з боку постачальника або партнера.
Оскільки головне завдання CISO – тримати під контролем та пильною увагою кіберзагрози, вони мають поєднувати багато ролей та обов'язків як формальних, так і неформальних. Це означає, що фахівці з IT-безпеки стають свого роду інфлуенсерами, які сприяють кращій обізнаності в питаннях безпеки працівників і будують культуру кібербезпеки та кібергігієну в компанії. Інакше кажучи, CISO стають лідерами організацій із достатнім рівнем розуміння бізнесу та високим професіоналізмом у технічній сфері, вмінням управляти ризиками та знаходити баланс між загрозами безпеці та перевагами для бізнесу.
Редакція не несе відповідальності за зміст матеріалу і може не поділяти точку зору його автора