![]() |
![]() ![]() ![]() ![]() | ![]() |
![]() |
![]() ![]() ![]() |
![]() |
начало | ![]() |
![]() |
|
![]() |
![]() ![]()
|
![]() |
![]() |
Время, когда руководители корпоративной безопасности с трудом находили общий язык с акционерами и топ менеджментом, подходит к концу, пишет Крис Димитриадис в онлайновом издании Chief Security Officer, February 5, 2021. Сегодня бизнесмены в преобладающем большинстве осознают, что такое киберриски, и готовы обсуждать со специалистами, как они могут отразиться на компании с финансовой, репутационной, операционной, законодательной и прочих точек зрения. Информационные утечки, вымогательство и шантаж, иные тяжелые для бизнеса проблемы, вызванные атаками хакеров, оставили в прошлом представление о кибербезопасности как функции одной отдельной службы. Сегодня киберриски – головная боль всей организации независимо от ее отраслевого профиля. Результаты опроса, проведенного ISACA (международная ассоциация, объединяющая профессионалов в области ИТ-аудита, ИТ-консалтинга, управления ИТ-рисками и информационной безопасности) продемонстрировали, что большинство руководителей компаний сомневаются в надежности имеющихся у них систем кибербезопасности. Крис Димитриадис предлагает профессионалам корпоративной безопасности рекомендации относительно взаимодействия с первыми лицами по проблемам охраны предприятия, в том числе и кибербезопасности: Прежде всего, необходимо глубоко изучить задачи и функции, осуществляемые советом директоров Эффективное взаимодействие с верхушкой организации невозможно без ясного понимания, как организован бизнес, как им управляют, как технологии, в том числе технологии безопасности, реально влияют на общую экосистему бизнеса. Если помимо стандартной службы безопасности в компании работают профессионалы в сфере управления рисками, именно последние могут наилучшим образом помочь СБ донести до первых лиц озабоченности, связанные с операционными и стратегическими угрозами, проистекающими от киберрисков. Докладывайте данные в приемлемом формате Целесообразно для докладов и отчетов использовать таблицы с метриками, такими как ключевые индикаторы производственной деятельности, ключевые контрольные индикаторы, ключевые индикаторы рисков по категориям: информационные утечки; достоверность и надежность данных; надежность систем защиты; хищения и мошенничество. Представленная в таком виде информация поможет совету директоров принимать взвешенные решения по формированию бюджета на охрану предприятия, закупке технологий безопасности. В исследовании ISACA отмечается: «Представление правлению компании полного перечня рисков и сценариев их влияния на бизнес будет малоэффективным, если в докладе не будут отражены количественные метрики в формате, понятном бизнесменам. Акционеры и члены правления хорошо владеют языком финансов. Чем больше оценки рисков будут похожи на финансовый анализ, на расчеты прибылей и ущерба, тем легче руководству компании управлять рисками» (там же). Проведите сопоставительный анализ (benchmarking) бизнеса в его профильной отрасли Важно иметь в виду еще один аспект языка, на котором говорят бизнесмены, а именно: сравнительный анализ, насколько успешна компания относительно ее основных конкурентов. Очевидно, что недостаточно ограничиваться историями о новых хакерских угрозах, об успешных хакерских атаках на конкурирующие компании, хотя эта тема весьма привлекательна для членов правления. Здесь важно делать акцент на сравнении надежности и эффективности используемых организацией и ее конкурентами систем безопасности. Если обнаружено, что компания в этой позиции отстает от других, то напрашивается очевидный вывод о необходимости как можно скорее преодолеть разрыв. К счастью, пишет Димитриадис, сегодня уже не надо убеждать топ менеджмент и акционеров в необходимости контролировать и предупреждать киберриски. Поэтому фокус внимания следует перемещать с «общей картины» на конкретные, детальные проблемы, излагаемые понятным, точным и рельефным языком.
|
![]() |
карта сайта![]() ![]() ![]() |
![]() |
![]() |
|
![]() ![]() |