Търсене
Close this search box.

Как управителните съвети могат да определят приложими нива на толерантност към киберриска

Все по-често се случва управителните съвети да избират ниско ниво на толерантност към риска за предприятието. Проблемът е, че действията обикновено спират дотук, като липсват каквито и да било нови указания към главния изпълнителен директор или финансовия директор да вземат различни решения, които да подкрепят тази ниска толерантност към риска.

Оптималните следващи стъпки не са непременно свързани с повече пари, въпреки че увеличеното финансиране на киберсигурността е най-очевидният и често необходим ход. Тя може да включва и предоставяне на правомощия за извършване на промените, необходими за повишаване на рисковата позиция на предприятието.

CISO или CRO трябва да могат да одобряват споразумения за облачни услуги с нови условия за сигурност. Те също така трябва да могат да изискват от бъдещите бизнес партньори да изпълняват мерки за сигурност, като например необявени pen тестове. Може би CISO иска да премахне политиката за мобилни устройства BYOD и вместо това да настоява само за устройства, контролирани от компанията – той трябва да има правомощията да вземе това решение. Или може би CSO иска да има правото да проверява отчетите за разходите на счетоводството, търсейки всякакви покупки (рутери, доставчици на облачни услуги, устройства от интернет на нещата и т.н.), които биха могли да показват ИТ в сянка.

„Това, което се обърква в случая, е, че е много лесно за борда да каже, че има ниска толерантност към риска. Това почти се превръща в маркетингово послание“, казва Джеф Полард, вицепрезидент и главен анализатор на Forrester Research. „Разбират ли членовете на управителния съвет какво всъщност означава ниска толерантност към риска? На борда не му струва нищо просто да го каже. Ниската толерантност към риска има своите последствия и последици.“

За доста от управителните съвети „няма пряка връзка“ между тази декларация и съответните промени, които да я направят реална, казва Полард. Той добавя: „Бордовете често са разединени, когато вземат това решение и решават за бюджета. Рискът през 21-ви век често е количествен и с покритие на качествен. Те са маскирани като количества, а не са такива. Ние използваме неточен език, сякаш е точен. Рискът е мъгляв. Не съществува действителна смислена дефиниция за това какво означава той на практика“.

„Най-бързо развиващото се подразделение вероятно е високорисково, защото расте толкова бързо и прави това, което трябва да се направи, за да расте толкова бързо“, казва той. „Упълномощава ли бордът (главния изпълнителен директор) да натисне спирачките? Не мисля така. Това не е разговор за рисковете, а за компромисите.“

Установяване на конкретен изпълнителен орган

Сумия Банерджи, асоцииран партньор в McKinsey, казва, че днес управителните съвети трябва да имат много по-сложно разбиране за риска и конкретните начини за справяне с него.

„Бордовете все още имат толкова разбиране за това какви са рисковете, колкото е необходимо. Рисковете днес се развиват толкова бързо“, казва Банерджи. „Когато бордът каже „ниска толерантност към риска“, това трябва да постави началото на списък с много осезаеми ключови показатели за риска. Толерантността към риска трябва да се определя от въздействието на риска. Съществува определено разминаване. Бордовете трябва да представят киберсигурността по отношение на толерантността към риска по правилния начин – не абстрактно, а по много осезаем начин. Какви са компромисите? Разполагаме ли с пари, за да го направим?“

Андрю Морисън, ръководител на отдел „Стратегия, защита и реагиране“ в Deloitte, вижда, че основното предизвикателство при приемането на риска от страна на управителните съвети е авторитетът.

„Единственото нещо, което наистина липсва, е подходящ орган за вземане на решения в областта на киберсигурността. Там, където виждаме, че инцидентите се объркват, решенията за командване и контрол са неясни. Например, кой може да реши да спре онлайн присъствието?“ Морисън казва. „Управителният съвет ще обяви ниска толерантност към риска, без да разбира какво означава това за организацията. Трябва да се обсъди доколко CISO и екипът по сигурността са оправомощени да вземат решения.“

Наследствените системи могат ефективно да подкопаят дори и най-пламенната стратегия на борда за избягване на риска, особено подгрупата на много старите и скъпи системи в производството и други области на ОТ, казва Дейвид Бърг, лидер по киберсигурност за Ernst & Young Americas.

„Това включва определен вкус на наследството, когато на CISO се казва: „Не пипай тези неща. То е много чувствително и много старо“, казва Бърг. Всяка система, която е извън границите на ИТ и сигурността, е система, която нападателите ще видят като чудесно място за скриване на зловреден софтуер.

Определяне на подходящи очаквания на акционерите

Управителните съвети също трябва да бъдат внимателни и стратегически настроени по отношение на нуждите от спазване на законодателството, когато изготвят стратегия за киберрисковия апетит, казва Мат Толбърт, ръководител на отдела за киберсигурност и управление на оперативния риск във Федералната резервна банка на Кливланд.

Толбърт, който изнесе лекция на конференцията RSA 2023 за проблемите на управителните съвети около вземането на решение за такава политика, казва, че определянето на такива политики е важно, за да могат акционерите да разберат нивото на риск, което акцията е готова да понесе. „На всички трябва да е ясно какви са тези очаквания“, казва Толбърт.

„Какво е уместно да направи третата страна? Или при преминаване към облак? Това е насока за това дали това е приемливо“, казва Толбърт. Един от подходите е да се проведат задълбочени дискусии за риска с потенциалните партньори, за да се определи дали двете компании имат еднаква толерантност към риска.

Той също така отбелязва, че единствените практични нива на толерантност към риска са ниско, средно и високо. Управителният съвет не може да обяви, че има нулева толерантност към риска по правни причини. Ако го направи, това би довело до възможността компанията да бъде съдена след едно-единствено нарушение.

 

Източник: DARKReading

Подобни публикации

18 май 2024

Бивш лидер на OpenAI: Безопасността е "на заден...

Ян Лейке, който ръководеше екипа на OpenAI „Super Alignment&#...
18 май 2024

Киберсигурността в надпревара за разобличаване ...

Кевин Мандия, главен изпълнителен директор на Mandiant в Google Clo...
17 май 2024

Измамите с фалшиви фактури все още са сериозна ...

Измамите с фалшиви фактури не са нова тенденция, показват проучвани...
17 май 2024

Петима обвинени за киберсхеми в полза на оръжей...

Днес Министерството на правосъдието на САЩ повдигна обвинения на пе...
17 май 2024

Шпионската група "Маската" се появява отново сл...

Група за съвременни постоянни заплахи (APT), която не е била в дейс...
16 май 2024

400 000 Linux сървъра са засегнати от ботнета E...

Разширяването на ботнета Ebury Linux продължава без прекъсване през...
16 май 2024

Intel публикува 41 препоръки за сигурност за на...

Гигантът в областта на чиповете е пуснал пачове за повечето от тези...
Бъдете социални
Още по темата
18/05/2024

Бивш лидер на OpenAI: Безоп...

Ян Лейке, който ръководеше екипа на...
14/05/2024

DNS тунелирането се използв...

Наблюдавани са  киберпрестъпни групи, които използват...
14/05/2024

Щитовe! Или как да сведете ...

Атаката с рансъмуер срещу дъщерното дружество...
Последно добавени
18/05/2024

Бивш лидер на OpenAI: Безоп...

Ян Лейке, който ръководеше екипа на...
18/05/2024

Киберсигурността в надпрева...

Кевин Мандия, главен изпълнителен директор на...
17/05/2024

Измамите с фалшиви фактури ...

Измамите с фалшиви фактури не са...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!