Исследование ESG выявило масштабную проблему, связанную с недостаточным вниманием к технологиям безопасности на уровне топ-менеджмента

Исследование ESG выявило масштабную проблему, связанную с недостаточным вниманием к технологиям безопасности на уровне топ-менеджмента

Многие компании по-прежнему рассматривают информационную безопасность как область технологий. Причина этого, вероятно, лежит в слабой вовлеченности руководителей в снижение киберрисков для бизнеса.

Исследование «Кибербезопасность для руководства и совета директоров» ("Cybersecurity in the C-suite and Boardroom"), проведенное аналитиками Enterprise Strategy Group (ESG) при спонсорской поддержке компании Trend Micro, выявило системные трудности в интеграции мер безопасности в бизнес-процессы. Исследование показало, что только 23% организаций уделяют должное внимание согласованию мер безопасности с ключевыми бизнес-инициативами.

Аналитики предложили следующие рекомендации по решению этой важнейшей проблемы:

  • Нанять менеджера службы информационной безопасности (BISO), чтобы улучшить согласованность между бизнесом и безопасностью.
  • Разработать комплексную программу с чёткими показателями, которая поможет директорам по информационным технологиям (CISO) наладить общение с советом директоров.
  • Изменить структуру отчётности, чтобы директоры по информационной безопасности отчитывались непосредственно перед генеральным директором.
  • Также выяснилось, что когда члены совета директоров более образованы и вовлечены в функцию кибербезопасности, они задают сложные вопросы, глубже разбираются в проблемах и с большей вероятностью перейдут от технических к бизнес-вопросам.

    Подавляющее большинство (82%) респондентов заявили, что киберриски за последние два года выросли — в первую очередь из-за роста угроз, увеличения масштабов корпоративных атак, а также потому, что бизнес-процессы теперь зависят от технологий более, чем когда-либо.

    Несмотря на быстрое внедрение процессов цифровой трансформации в прошлом году, безопасность по-прежнему принято рассматривать в первую очередь (41%) или полностью (21%) как область технологий.

    Проблема недостаточного приоритета кибербезопасности особенно актуальна для совета директоров. Хотя 85% респондентов заявили, что на данный момент совет директоров больше вовлечён в принятие решений и формирование стратегии безопасности, чем два года назад, часто это вынужденное вовлечение — из-за серьёзных нарушений, новых требований соответствия или после создания по инициативе CISO программы безопасности.

    Фактически 44% респондентов указали, что совет директоров ограниченно участвует во многих критических операциях по кибербезопасности. Такое отсутствие вовлечённости означает, что многие советы директоров готовы финансировать только выполнение минимальных требований по соответствию и защите.

    «Стремления обеспечить "приемлемый" уровень безопасности, откровенно говоря, уже недостаточно, учитывая существующую картину киберрисков. В нашем отчёте отражены результаты множества моих бесед с CISO, в которых подчёркивается, что отсутствие участия совета директоров может привести к плохой кибергигиене и к тому, что меры безопасности не интегрированы должным образом в бизнес-процессы, — говорит Эд Кабрера (Ed Cabrera), директор по кибербезопасности Trend Micro. — Мы сможем создать культуру кибербезопасности только в том случае, если генеральные и корпоративные директора подадут пример. Это побудит каждого сотрудника поверить в то, что он играет важную роль в защите организации».

    Источник