Количество цифровых угроз растет с каждым днем, и неудивительно, что вопросы киберзащиты обсуждаются на уровне генерального директора и собрания акционеров. Особенно в США, где киберугрозы были названы первым по значимости риском для бизнес-перспектив в 2024 г.
PwC провели масштабное исследование о роли CEO в информационной стратегии компании и получили ряд любопытных фактов.
Поддержка на миллион (или нет)
По данным исследования, взгляд руководителей на степень их вовлеченности в процессы киберзащиты существенно отличается от мнения офицеров по информационной безопасности. Например, в то время как топ-менеджмент уверен, что оказывает «значительную поддержку» в обеспечении информационной безопасности, только 3 из 10 офицеров по безопасности согласны с этим утверждением.
Исследование PwC, которое включало опрос 673 генеральных директоров и 2929 других руководителей высшего звена, показало, что многие заявления генеральных директоров в области кибербезопасности носят декларативный характер. CEO позиционируют себя как стратеги, активно поддерживающие превентивные меры и создание надежной защиты, однако CISO склонны оценивать деятельность руководства иначе. Они считают, что основная работа по киберзащите начинается только после серьезного инцидента в отрасли, компании или при возникновении вопросов у регулятора.
По данным исследования, 63% CISO не получают необходимой поддержки от своих директоров, несмотря на то что 37% руководителей уверены, что предоставляют достаточные ресурсы, финансирование и внимание к вопросам кибербезопасности.
Вопросы коммуникации в кибербезопасности
Казалось бы, после таких цифр напрашивается вывод, что ответственность за кибербезопасность лежит на генеральных директорах. Но PwC подчеркивает важность коммуникации: умеют ли офицеры по безопасности доносить важную информацию до своего руководства?
Стандартные отчеты о деятельности CISO могут быть насыщены цифрами, но зачастую не передают руководству реальную картину угроз для бизнеса.
Чтобы вывести компанию на необходимый уровень безопасности и получать реальную поддержку от руководства, «директора по информационной безопасности должны выйти за рамки технологий и расширить сферу своей деятельности — например, научиться у финансового директора, как говорить о финансовых последствиях риска на языке, понятном совету директоров», уверены в PwC.
И действительно, для большинства директоров стандартные отчеты отдела по безопасности, в которых указано количество отраженных атак, не имеют никакой реальной связи с последствиями для бизнеса. Но это тема уже для отдельного разговора.
Кибербезопасность в Казахстане: текущие вызовы и перспективы
В Казахстане разрыв между руководством и отделом по безопасности, вероятно, еще более значительный. Пока нет статистических данных, можно опираться на мнения лидеров и профессиональные издания. Независимый эксперт по информационной безопасности Евгений Питолин в своей колонке для казахстанского Forbes отмечает: «Лидерам бизнеса зачастую непонятно, как планировать бюджет на безопасность и как оценить риски ИБ. При этом они считают, что знают все о других бизнес-рисках. Но в кибербезопасности управление рисками — это особый процесс».
С другой стороны, издание «Курсив.Медиа», исследуя вопросы информационной безопасности в Казахстане, пришло к выводу: «Само по себе усиление роли CISO недостаточно для эффективной работы. Первая большая проблема — слабая коммуникация между CEO и CISO».
Эти выводы еще раз подтверждают, что для улучшения кибербезопасности в Казахстане обеим сторонам нужно делать шаг навстречу друг другу: руководству — активнее включаться в процессы кибербезопасности и глубже разбираться в технических аспектах, а офицерам безопасности — учиться говорить на языке бизнеса и финансов.
