Все по-често се случва управителните съвети да избират ниско ниво на толерантност към риска за предприятието. Проблемът е, че действията обикновено спират дотук, като липсват каквито и да било нови указания към главния изпълнителен директор или финансовия директор да вземат различни решения, които да подкрепят тази ниска толерантност към риска.

Оптималните следващи стъпки не са непременно свързани с повече пари, въпреки че увеличеното финансиране на киберсигурността е най-очевидният и често необходим ход. Тя може да включва и предоставяне на правомощия за извършване на промените, необходими за повишаване на рисковата позиция на предприятието.

CISO или CRO трябва да могат да одобряват споразумения за облачни услуги с нови условия за сигурност. Те също така трябва да могат да изискват от бъдещите бизнес партньори да изпълняват мерки за сигурност, като например необявени pen тестове. Може би CISO иска да премахне политиката за мобилни устройства BYOD и вместо това да настоява само за устройства, контролирани от компанията – той трябва да има правомощията да вземе това решение. Или може би CSO иска да има правото да проверява отчетите за разходите на счетоводството, търсейки всякакви покупки (рутери, доставчици на облачни услуги, устройства от интернет на нещата и т.н.), които биха могли да показват ИТ в сянка.

„Това, което се обърква в случая, е, че е много лесно за борда да каже, че има ниска толерантност към риска. Това почти се превръща в маркетингово послание“, казва Джеф Полард, вицепрезидент и главен анализатор на Forrester Research. „Разбират ли членовете на управителния съвет какво всъщност означава ниска толерантност към риска? На борда не му струва нищо просто да го каже. Ниската толерантност към риска има своите последствия и последици.“

За доста от управителните съвети „няма пряка връзка“ между тази декларация и съответните промени, които да я направят реална, казва Полард. Той добавя: „Бордовете често са разединени, когато вземат това решение и решават за бюджета. Рискът през 21-ви век често е количествен и с покритие на качествен. Те са маскирани като количества, а не са такива. Ние използваме неточен език, сякаш е точен. Рискът е мъгляв. Не съществува действителна смислена дефиниция за това какво означава той на практика“.

„Най-бързо развиващото се подразделение вероятно е високорисково, защото расте толкова бързо и прави това, което трябва да се направи, за да расте толкова бързо“, казва той. „Упълномощава ли бордът (главния изпълнителен директор) да натисне спирачките? Не мисля така. Това не е разговор за рисковете, а за компромисите.“

Установяване на конкретен изпълнителен орган

Сумия Банерджи, асоцииран партньор в McKinsey, казва, че днес управителните съвети трябва да имат много по-сложно разбиране за риска и конкретните начини за справяне с него.

„Бордовете все още имат толкова разбиране за това какви са рисковете, колкото е необходимо. Рисковете днес се развиват толкова бързо“, казва Банерджи. „Когато бордът каже „ниска толерантност към риска“, това трябва да постави началото на списък с много осезаеми ключови показатели за риска. Толерантността към риска трябва да се определя от въздействието на риска. Съществува определено разминаване. Бордовете трябва да представят киберсигурността по отношение на толерантността към риска по правилния начин – не абстрактно, а по много осезаем начин. Какви са компромисите? Разполагаме ли с пари, за да го направим?“

Андрю Морисън, ръководител на отдел „Стратегия, защита и реагиране“ в Deloitte, вижда, че основното предизвикателство при приемането на риска от страна на управителните съвети е авторитетът.

„Единственото нещо, което наистина липсва, е подходящ орган за вземане на решения в областта на киберсигурността. Там, където виждаме, че инцидентите се объркват, решенията за командване и контрол са неясни. Например, кой може да реши да спре онлайн присъствието?“ Морисън казва. „Управителният съвет ще обяви ниска толерантност към риска, без да разбира какво означава това за организацията. Трябва да се обсъди доколко CISO и екипът по сигурността са оправомощени да вземат решения.“

Наследствените системи могат ефективно да подкопаят дори и най-пламенната стратегия на борда за избягване на риска, особено подгрупата на много старите и скъпи системи в производството и други области на ОТ, казва Дейвид Бърг, лидер по киберсигурност за Ernst & Young Americas.

„Това включва определен вкус на наследството, когато на CISO се казва: „Не пипай тези неща. То е много чувствително и много старо“, казва Бърг. Всяка система, която е извън границите на ИТ и сигурността, е система, която нападателите ще видят като чудесно място за скриване на зловреден софтуер.

Определяне на подходящи очаквания на акционерите

Управителните съвети също трябва да бъдат внимателни и стратегически настроени по отношение на нуждите от спазване на законодателството, когато изготвят стратегия за киберрисковия апетит, казва Мат Толбърт, ръководител на отдела за киберсигурност и управление на оперативния риск във Федералната резервна банка на Кливланд.

Толбърт, който изнесе лекция на конференцията RSA 2023 за проблемите на управителните съвети около вземането на решение за такава политика, казва, че определянето на такива политики е важно, за да могат акционерите да разберат нивото на риск, което акцията е готова да понесе. „На всички трябва да е ясно какви са тези очаквания“, казва Толбърт.

„Какво е уместно да направи третата страна? Или при преминаване към облак? Това е насока за това дали това е приемливо“, казва Толбърт. Един от подходите е да се проведат задълбочени дискусии за риска с потенциалните партньори, за да се определи дали двете компании имат еднаква толерантност към риска.

Той също така отбелязва, че единствените практични нива на толерантност към риска са ниско, средно и високо. Управителният съвет не може да обяви, че има нулева толерантност към риска по правни причини. Ако го направи, това би довело до възможността компанията да бъде съдена след едно-единствено нарушение.