Развитие технологий и повсеместная цифровизация являются катализатором кибератак различной сложности. В текущих условиях для обеспечения кибербезопасности компании защитникам необходимо переходить к упреждающему подходу, в основании которого должно лежать полноценное планирование на стратегическом уровне.
Участие совета директоров в управлении кибербезопасностью обеспечивает стратегическую поддержку ИБ-подразделения, необходимую для навигации по непрерывно меняющемуся ландшафту киберрисков.
В 2024 году ГК «Солар» приняла участие в двух значимых мероприятиях в области корпоративного управления.
Первым событием стало заседание комитета АНД по новым технологиям, инновациям и кибербезопасности с участием членов советов директоров, генеральных директоров и вице-президентов, CISO, CIO и других представителей высшего руководства компаний. Участники поделились своим опытом вовлечения в процессы, направленные на развитие кибербезопасности. Другой площадкой для продолжения дискуссии о кибербезопасности и корпоративном управлении стал XVIII Форум корпоративных секретарей НОКС.
Участники обоих мероприятий поделились своим мнением в опросе «Солар», который показал, что системно к решению вопросов кибербезопасности подходит 60% советов директоров, 30% компаний рассматривают вопросы ИБ ситуационно – только при возникновении инцидентов.
Половина топ-менеджеров считают, что их компания находится под надежной киберзащитой. При этом 60% компаний, участвовавших в опросе, в данный момент времени находятся в процессе цифровой трансформации. Практика показывает, что цифровая трансформация одновременно с формированием дополнительных рисков является оптимальным условием для качественного усиления кибербеза.
Мы выделили семь областей корпоративного управления, тесно связанных с кибербезопасностью.
ВАЖНОСТЬ КИБЕРБЕЗОПАСНОСТИ ДЛЯ РУКОВОДСТВА, АКЦИОНЕРОВ И СД
Кибербезопасность связана с защитой конфиденциальной информации компании, ее активов и репутации
ОТВЕТСТВЕННОСТЬ
Транспорт, металлургия, крупнейшие банки, онлайн-площадки, электроэнергетика
СТРАТЕГИЧЕСКОЕ ПЛАНИРОВАНИЕ
Кибербезопасность – область, которая требует существенных инвестиций и изрядного времени на получение возврата от них. Руководство компании должно учитывать вопросы кибербезопасности при разработке бизнес-стратегии
РЕПУТАЦИЯ
Утечка конфиденциальной информации или кибератака могут повредить репутации компании. Руководители отвечают за сохранение репутации компании
ФИНАНСОВАЯ СТАБИЛЬНОСТЬ
Кибератаки и утечки данных могут привести к нарушению операционной деятельности и значительным финансовым потерям. Руководство отвечает за операционное и финансовое здоровье компании
ПРАВОВОЕ РЕГУЛИРОВАНИЕ
Закон обязывает компании соблюдать требования по кибербезопасности. Наиболее известные – о КИИ и ПДн. Руководство компании должно организовать работу в условиях применяемого права
УПРАВЛЕНИЕ РИСКАМИ
Управление киберрисками требует полномочий и находится на уровне руководства компании. Руководство должно обладать компетенциями для принятия верных управленческих решений
КИБЕРКУЛЬТУРА
Этика и безопасное поведение в цифровом мире должны продвигаться руководителями компании. Руководство должно демонстрировать значимость кибербезопасности своим примером и поведением
Особого внимания заслуживают вопросы корреляции кибербезопасности и корпоративного управления. С одной стороны, процессы корпоративного управления требуют профессиональной киберзащиты, с другой – управление компанией включает элементы управления кибербезопасностью.
Кибербезопасность в корпоративном управлении
Технические аспекты
Киберриски систем КУ определены.
Организована их защита:
- От подмены результатов голосований
- Утечки материалов и протоколов СД
- Уничтожения материалов, протоколов и решений СД
- Подмены или некорректности отчетных данных
- …
Корпоративное управление кибербезопасностью
Управленческие аспекты
Как КУ влияет на кибербезопасность компании:
- Кибербезопасность регулярно в повестке СД
- Киберриски определены, отслеживаются и понятны СД
- Ответственность СД по киберрискам установлена
- Роль по подготовке отчетности и взаимодействию с СД по кибербезопасности назначена
- Независимость, полнота и достоверность анализа кибербезопасности обеспечены
- Контроль СД динамики развития кибербезопасности в компании осуществляется
- …
Безусловно, для принятия обоснованных управленческих решений руководителям нужна достоверная и актуальная информация. Наиболее популярным для топ-менеджеров способом получения информации об уровне кибербезопасности их компаний являются отчеты CISO, их практикуют 63% респондентов. Сопоставимой альтернативой является информация от независимого аудита (63%). Повышения качества и полноты такой отчетности топ-менеджеры достигают за счет получения отчетов о тестировании защищенности (38%), а также «второго мнения» от CIO (44%). Сочетание различных типов источников информации позволяет понять реальное состояние киберзащищенности компании и выявить области для ее развития.
Топ-менеджмент выделяет четыре ключевых элемента успешной стратегии развития кибербезопасности: риск-сбалансированный подход (69%), киберкультура (56%), соответствие требованиям регуляторов, включая защиту от утечек (44%), и продвинутый мониторинг кибератак (38%).
Наиболее востребованными инструментами повышения эффективности кибербеза, по мнению респондентов, являются: проведение киберучений и стресс-тестирований (75%), развитие кадрового потенциала (50%) и включение трендвотчинга в процесс принятия решений по развитию ИБ (38%).
Заключительным значимым элементом системного развития кибербезопасности является включенность топ-менеджеров в стратегическое управление ИБ. Хорошей практикой является подход к развитию ИБ «сверху вниз», при котором на уровне руководства компании осуществляется определение и оценка стратегических киберрисков, формулируются цели и ожидания от кибербезопасности, выстраивается схема регулярного взаимодействия руководства компании и руководителя ИБ, а также устанавливаются правила надзора и контроля. Результаты опроса «Солар» показали, что только половина респондентов принимает личное участие в стратегическом управлении кибербезопасностью и тем самым обеспечивает сохранение приоритетов и целей бизнеса в области развития кибербезопасности.
С целью поддержки усилий руководителей копаний и членов советов директоров команда управленческого консалтинга «Солар» разработала рекомендации по развитию информационной безопасности.
Рекомендации изложены в формате чек-листа и могут быть использованы для диагностики информационной безопасности на верхнем уровне компании.
РОМАН ЧАПЛЫГИН
Директор по консалтингу
r.chaplygin@rt-solar.ru
СЕРГЕЙ МАШОШИН
Руководитель направления
s.mashoshin@rt-solar.ru
