Томас Паренти - Кибербезопасность. Что руководителям нужно знать и делать

• Кибербезопасность должна быть у всех на слуху. Рабочие процессы компании, ее деятельность и структура – все должно быть неотрывно от заботы о кибербезопасности. Выводите ее из тени, она – не просто часть чьего-то функционала.

• Не забывайте о мотивации. Знайте, чего хотят ваши сотрудники. Правильно мотивируйте их. Пусть они тоже будут заинтересованы в заботе о кибербезопасности.

Управление киберрисками

Это наиболее важная задача; все остальные опираются на нее и зависят от четкого понимания последствий кибератак. Эффективное управление киберрисками требует грамотной оценки взаимосвязей между наиболее значимыми бизнес-рисками для компании, типами кибератак, которые могут их вызвать, и мерами, способными предотвратить или минимизировать эти риски. Эффективный контроль включает выявление и учет всех нетехнических факторов, которые могут свести на нет даже самые мощные технологии.

Защита компании

Вы существенно укрепите систему кибербезопасности, если задействуете дополнительные инструменты: грамотный подход к организационной структуре компании, выстраиванию ее рабочих процессов и корпоративной культуры. Не менее важно учитывать мотивацию и интересы сотрудников, а процесс оценки угроз должен предполагать ответы на вопросы: «Насколько мы теперь в безопасности?» и «Насколько мы будем в безопасности завтра?» Корректный статус команды кибербезопасности в структуре компании и понимание, нуждаетесь ли вы и ваши коллеги по совету директоров в дополнительной киберэкспертизе, – также важные факторы. Именно от механизмов подотчетности зависит ваша возможность получать ценную информацию, необходимую для принятия обоснованных решений.

Лидерство в кризисе

Хотя компания не должна пренебрегать превентивными и защитными мерами, лучше быть во всеоружии: вдруг кризис, вызванный кибератакой, все же грянет? Здесь помогут планирование, подготовка и координация в двух взаимосвязанных областях. Во-первых, компании необходимо научиться распознавать атаки и защищаться от них – для этого нужна квалифицированная команда реагирования. Во-вторых, топ-менеджеры должны встать у руля во время киберкризиса, то есть понимать, как относиться к тем или иным ситуациям и какие решения принимать. Используя собранную информацию и материалы, разработанные в процессе снижения рисков, руководители смогут наметить план действий заранее.

Каждая памятка состоит из четырех элементов. Первый – запрос, касающийся той или иной задачи в области кибербезопасности. Формулировки приведены так, чтобы вы могли сразу их использовать. Второй элемент – краткое обоснование запроса с точки зрения защиты вашей компании и деятельности по управлению киберрисками. Далее приводятся примеры и описания документов, отвечающих запросу. Последний элемент – действия, рекомендованные для контроля запроса. Чтобы использовать памятки, опыт в технической сфере не нужен. Зато эти материалы помогут вам всесторонне оценить эффективность управления в области кибербезопасности и киберрисков.

Мы написали эту книгу, чтобы помочь вам как руководителю компании осуществлять контроль над политикой кибербезопасности. Поскольку эта обязанность требует участия многих ваших коллег, здесь также есть рекомендации исполнительным директорам и руководителям, отвечающим за кибербезопасность, – как по защите компании, так и по выполнению их обязанностей перед вами и советом директоров. Принципы и советы, изложенные в книге, применимы и в других типах организаций, в том числе государственных учреждениях и некоммерческих организациях.

В книге четыре раздела. Каждый вносит вклад в ваше понимание кибербезопасности и того, чему нужно уделить внимание в этой сфере.

• Первая часть, «Проблемы» Часть I. Проблемы Начнем с двух вопросов • Вы замечали, что общеизвестная информация о кибербезопасности порой выглядит сомнительно, но эти сомнения трудно конкретизировать? • Приходило ли вам в голову, что о киберугрозах обычно говорят языком, малопонятным для простых смертных, и это неоправданно? Если ваш ответ «да», то интуиция вас не подвела. Разница между тем, что кажется истинным в области кибербезопасности, и тем, что таковым является, огромна. Прежде чем перейти к принципам разумного управления в цифровой сфере и поговорить о связанной с этим ответственности, давайте сдернем завесу тайны с бытующих здесь банальных сентенций, теневых факторов и распространенных заблуждений. Именно они напускают тумана и превращают обсуждение проблем кибербезопасности в непроходимый темный лес. , раскрывает причины, по которым меры в области кибербезопасности порой неэффективны, а разобраться в теме так сложно. Вы сможете критически взглянуть на решения, принимаемые вашей компанией.