Все по-често се случва управителните съвети да избират ниско ниво на толерантност към риска за предприятието. Проблемът е, че действията обикновено спират дотук, като липсват каквито и да било нови указания към главния изпълнителен директор или финансовия директор да вземат различни решения, които да подкрепят тази ниска толерантност към риска.

Оптималните следващи стъпки не са непременно свързани с повече пари, въпреки че увеличеното финансиране на киберсигурността е най-очевидният и често необходим ход. Тя може да включва и предоставяне на правомощия за извършване на промените, необходими за повишаване на рисковата позиция на предприятието.

CISO или CRO трябва да могат да одобряват споразумения за облачни услуги с нови условия за сигурност. Те също така трябва да могат да изискват от бъдещите бизнес партньори да изпълняват мерки за сигурност, като например необявени pen тестове. Може би CISO иска да премахне политиката за мобилни устройства BYOD и вместо това да настоява само за устройства, контролирани от компанията – той трябва да има правомощията да вземе това решение. Или може би CSO иска да има правото да проверява отчетите за разходите на счетоводството, търсейки всякакви покупки (рутери, доставчици на облачни услуги, устройства от интернет на нещата и т.н.), които биха могли да показват ИТ в сянка.

„Това, което се обърква в случая, е, че е много лесно за борда да каже, че има ниска толерантност към риска. Това почти се превръща в маркетингово послание“, казва Джеф Полард, вицепрезидент и главен анализатор на Forrester Research. „Разбират ли членовете на управителния съвет какво всъщност означава ниска толерантност към риска? На борда не му струва нищо просто да го каже. Ниската толерантност към риска има своите последствия и последици.“

За доста от управителните съвети „няма пряка връзка“ между тази декларация и съответните промени, които да я направят реална, казва Полард. Той добавя: „Бордовете често са разединени, когато вземат това решение и решават за бюджета. Рискът през 21-ви век често е количествен и с покритие на качествен. Те са маскирани като количества, а не са такива. Ние използваме неточен език, сякаш е точен. Рискът е мъгляв. Не съществува действителна смислена дефиниция за това какво означава той на практика“.

„Най-бързо развиващото се подразделение вероятно е високорисково, защото расте толкова бързо и прави това, което трябва да се направи, за да расте толкова бързо“, казва той. „Упълномощава ли бордът (главния изпълнителен директор) да натисне спирачките? Не мисля така. Това не е разговор за рисковете, а за компромисите.“

Установяване на конкретен изпълнителен орган

Сумия Банерджи, асоцииран партньор в McKinsey, казва, че днес управителните съвети трябва да имат много по-сложно разбиране за риска и конкретните начини за справяне с него.

„Бордовете все още имат толкова разбиране за това какви са рисковете, колкото е необходимо. Рисковете днес се развиват толкова бързо“, казва Банерджи. „Когато бордът каже „ниска толерантност към риска“, това трябва да постави началото на списък с много осезаеми ключови показатели за риска. Толерантността към риска трябва да се определя от въздействието на риска. Съществува определено разминаване. Бордовете трябва да представят киберсигурността по отношение на толерантността към риска по правилния начин – не абстрактно, а по много осезаем начин. Какви са компромисите? Разполагаме ли с пари, за да го направим?“

Андрю Морисън, ръководител на отдел „Стратегия, защита и реагиране“ в Deloitte, вижда, че основното предизвикателство при приемането на риска от страна на управителните съвети е авторитетът.

„Единственото нещо, което наистина липсва, е подходящ орган за вземане на решения в областта на киберсигурността. Там, където виждаме, че инцидентите се объркват, решенията за командване и контрол са неясни. Например, кой може да реши да спре онлайн присъствието?“ Морисън казва. „Управителният съвет ще обяви ниска толерантност към риска, без да разбира какво означава това за организацията. Трябва да се обсъди доколко CISO и екипът по сигурността са оправомощени да вземат решения.“

Наследствените системи могат ефективно да подкопаят дори и най-пламенната стратегия на борда за избягване на риска, особено подгрупата на много старите и скъпи системи в производството и други области на ОТ, казва Дейвид Бърг, лидер по киберсигурност за Ernst & Young Americas.

„Това включва определен вкус на наследството, когато на CISO се казва: „Не пипай тези неща. То е много чувствително и много старо“, казва Бърг. Всяка система, която е извън границите на ИТ и сигурността, е система, която нападателите ще видят като чудесно място за скриване на зловреден софтуер.

Определяне на подходящи очаквания на акционерите

Управителните съвети също трябва да бъдат внимателни и стратегически настроени по отношение на нуждите от спазване на законодателството, когато изготвят стратегия за киберрисковия апетит, казва Мат Толбърт, ръководител на отдела за киберсигурност и управление на оперативния риск във Федералната резервна банка на Кливланд.

Толбърт, който изнесе лекция на конференцията RSA 2023 за проблемите на управителните съвети около вземането на решение за такава политика, казва, че определянето на такива политики е важно, за да могат акционерите да разберат нивото на риск, което акцията е готова да понесе. „На всички трябва да е ясно какви са тези очаквания“, казва Толбърт.

„Какво е уместно да направи третата страна? Или при преминаване към облак? Това е насока за това дали това е приемливо“, казва Толбърт. Един от подходите е да се проведат задълбочени дискусии за риска с потенциалните партньори, за да се определи дали двете компании имат еднаква толерантност към риска.

Той също така отбелязва, че единствените практични нива на толерантност към риска са ниско, средно и високо. Управителният съвет не може да обяви, че има нулева толерантност към риска по правни причини. Ако го направи, това би довело до възможността компанията да бъде съдена след едно-единствено нарушение.

 

Източник: DARKReading

Подобни публикации

15 юли 2025

Критични уязвимости в над 240 модела дънни плат...

Изследователи по фърмуерна сигурност алармираха, че десетки модели ...
15 юли 2025

Американски дипломати предупредени за ИИ фалшиф...

Държавният департамент на САЩ предупреди всички американски посолст...

Ще останат ли смартфоните в миналото?

С разширяването на възможностите на изкуствения интелект и стремежа...
14 юли 2025

Злонамерено разширение за Cursor AI IDE доведе ...

Фалшиво разширение за средата за разработка Cursor AI IDE, базирана...
14 юли 2025

Актуализация за Windows 10 нарушава функцията з...

След инсталиране на юлската актуализация KB5062554 за Windows 10, п...
14 юли 2025

Google Gemini податлив на скрити фишинг атаки ч...

Изследване, представено чрез програмата за уязвимости 0din на Mozil...

Защо традиционният HAZOP не е достатъчен

HAZOP (Hazard and Operability Study) е утвърден метод за идентифици...

Преосмисляне на OT киберсигурността

Въпреки че оперативните технологии (OT) стоят в основата на критичн...
Бъдете социални
Още по темата
13/07/2025

Делата срещу Meta и Google ...

Две от най-значимите антитръстови дела в...
02/07/2025

ИИ и обучението: инструмент...

Използването на ИИ в обучението може...
30/06/2025

Let's Encrypt спира имейл н...

Let’s Encrypt спира да изпраща имейл...
Последно добавени
15/07/2025

Критични уязвимости в над 2...

Изследователи по фърмуерна сигурност алармираха, че...
15/07/2025

Американски дипломати преду...

Държавният департамент на САЩ предупреди всички...
15/07/2025

Ще останат ли смартфоните в...

С разширяването на възможностите на изкуствения...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!