Цифровізація вимагає нового підходу до подолання кіберзагроз Цифровізація вимагає нового підходу до подолання кіберзагроз Цифровізація вимагає нового підходу до подолання кіберзагроз

Джерело: The Page

Під час пандемії COVID-19 організації у всьому світі досягли значних успіхів під час переходу на дистанційний формат роботи та співпраці. Але поширення цифровізації створює низку значних кіберзагроз, для подолання яких потрібні радикальні культурні зміни на рівні керівників та власників компаній та організацій.

В умовах, коли швидкість прийняття рішень є критично важливою, команди з IT безпеки та їхні керівники (CISO) мають створити та впровадити практичну культуру безпеки на кожному етапі роботи з системами та даними. Створення такої культури допоможе фахівцям з IT безпеки будувати екосистему захисних механізмів компанії. Для цього фахівці з IT безпеки мають змінити свої підходи до роботи, стати посередниками, які доносять культуру до всіх співробітників. 

Новий глобальний звіт KPMG "From enforcer to influencer" побудований на серії опитувань серед директорів та менеджерів з IT безпеки великих компаній з різних галузей та регіонів світу. Він показує керівникам IT та інформаційної безпеки, як трансформується роль сучасних фахівців з кібербезпеки та на що треба звертати увагу саме зараз. На основі цього звіту ми підготували добірку корисних практичних порад, які допоможуть по-іншому подивитись на обов`язки фахівців команди з IT безпеки, необхідні для підтримки реалізації бізнес-стратегії компанії. 

Загалом, звіт пропонує сім ключових рекомендацій та порад керівникам IT та керівникам з кібербезпеки (CISO):

Кібербезпека стала широко обговорюваною темою за останні два роки – згідно останнього глобального опитування KPMG CEO Outlook 2021, яке проводилося серед топменеджерів компаній в світі, ризик кібербезпеки – серед трійки ризиків для бізнесу. Топменеджери добре усвідомили, як втрата даних та кібершахрайство можуть зупинити діяльність та знищити дохід та репутацію. Керівники бізнесу, які швидко впроваджують цифрові рішення, почали усвідомлювати, що занадто швидке впровадження без урахування налагоджених систем безпеки на етапі проєктування, може бути занадто ризикованим для бізнесу.

Так поступово пріоритети команди з IT безпеки почали зміщуватись в бік вирішення стратегічних задач – побудови довіри, забезпечення безпеки розроблених продуктів, побудови сталих операційних процесів та ланцюжків постачань.

Керівники з кібербезпеки мають говорити мовою топменеджерів, знаходити спільні точки інтересу та виробляти спільну точку зору на питання кібербезпеки з керівниками організацій, добре знатися на політиках компанії або організації. Фахівці з IT безпеки стають особами, які завжди на видноті, виступають обличчям компанії – це сприяє зміцненню довіри.

Сьогодні  зловмисник в одній частині світу може заблокувати роботу фабрики або порту за тисячі кілометрів від нього або пошкодити вебсайт клієнта глобального банку, тому процеси з кібербезпеки повинні адаптуватися до цих загроз. Дані стали новою нафтою, можливо, ціннішою за фізичні активи.

Так, обов’язки CISO розширюються та включають в себе безпеку даних, запобігання руйнівним інцидентам та подіям для підтримки операційної стійкості, взаємодію з третіми сторонами, дотримання нормативних вимог та допомогу у протидії фінансовій злочинності. Таке широке коло повноважень вимагає від команди з IT безпеки та їх керівників налагодження міцних робочих відносин з керівниками інших функцій в організації, таких як директор з ризиків (CRO), директор з даних (CDO) і, звичайно, директор з інформаційних технологій (CIO). Повноваження CISO виходять за межі захисту, як такого. CISO мають розуміти, як відновити бізнес після кіберкризи, а також допомагають генеральному директору або керівнику бізнесу зберегти довіру клієнтів, постачальників та регулюючих органів.

Кібербезпека має бути ключовою складовою формування культури довіри та корпоративної стратегії, а не ідеєю, яка приходить раптово для вирішення проблеми. В світі у таких галузях, як виробництво та нафто- або газовидобування, безпека вже стала невід`ємною частиною стратегії компаній – створено культуру безпеки, працівники інстинктивно уникають ризиків та інцидентів за допомогою інструментів заохочення, оцінки та винагороди. Керівники з IT безпеки (CISO) повинні йти подібним шляхом та розвивати цю культуру кібербезпеки серед працівників. Сучасні CISO мають вправно вести переговори та співпрацювати з іншими керівниками підрозділів, щоб інтегрувати кібербезпеку в ДНК організації. Через впровадження безпеки в процеси управління, внутрішні освітні програми, а також через встановлення правильного поєднання корпоративних та особистих показників ефективності (KPI).

Галузь кібербезпеки наразі стикається з нестачею кваліфікованих фахівців в таких сферах, як хмарні технології, автоматизація виробництва (OT), data science, робота з великими даними та аналітика, архітектура, моделювання кіберризиків.

Керівники з IT безпеки (CISO) мають навчитися залучати таланти з необхідними навичками поза організацією та вибудовувати нові партнерські відносини зі сторонніми компаніями, які знаються на кібербезпеці. У майбутньому ми можемо спостерігати, як кіберфункція бере на себе стратегічну та управлінську роль, а кібербезпека вбудовується у бізнес.

Обсяги даних продовжуватимуть збільшуватися, автоматизація стає обов’язковим елементом роботи будь-якої команди з кібербезпеки. Чи то моніторинг систем виявлення атак, чи то процес найму працівників, залучення постачальників, реагування на інциденти або комплаєнс-перевірка, автоматизація зменшує кількість помилок, що вивільняє час фахівців з IT безпеки.

Автоматизація зменшує обсяг ручних процесів та скорочує дефіцит кадрів, підвищує ефективність та допомагає досягнути кращих результатів у процесах, які повторюються та не потребують втручання людини. Це також може допомогти вбудувати безпеку в процеси компанії та покращити користувацький досвід, а також скоротити час реагування на типові кіберінциденти.

Фахівці з IT безпеки продовжують розвивати свої знання та експертизу: в сфері штучного інтелекту (AI), інтернету речей, технологій 4G та 5G, машинного навчання (ML), аналітики великих даних, прогнозної аналітики, в тому числі законодавчі норми, пов`язані із захистом даних. Доступ до даних стає безмежним в світі, де все пов`язано зі всім. Захист даних зараз вкрай важливий, компанії повинні це визнати та змінювати підхід до моделі безпеки даних. Політики обробки інформації мають складнішати та регулюватись рівнем конфіденційності, а права суб’єктів даних мають ставати більш прозорими, оскільки країни пильно захищають та відстоюють право контролювати доступ до даних своїх громадян у межах країни та поза межами держави. 

CISO чітко усвідомлюють складність та загрози, що виникають внаслідок збільшення кількості доступів сторонніх осіб до даних, включаючи постачальників, підрядників або партнерів. Сьогодні організації є частиною складної екосистеми постачальників та партнерів, об’єднаних між собою спільними даними та послугами.  Перед підписанням будь-якого контракту починати треба зі стандартної процедури – всебічної перевірки законності і комерційної привабливості запланованої угоди, а також оцінки кіберризиків контрагента (due diligence), а далі створювати механізми контролю доступу третіх сторін до даних, якщо виявлені проблеми з кібербезпекою з боку постачальника або партнера. 

Оскільки головне завдання CISO – тримати під контролем та пильною увагою ризики  кіберзагроз, вони мають поєднувати в собі багато ролей та відповідальностей, як формальних, так і неформальних. Це означає, що фахівці з IT безпеки стають свого роду інфлюєнсерами, які сприяють посиленню обізнаності про безпеку серед працівників, будуючи культуру кібербезпеки та кібергігієну в компанії. Іншими словами, CISO стають лідерами організацій з достатнім рівнем розуміння бізнесу та технічною експертизою, які управляють ризиками, завжди шукаючи баланс між ризиком безпеки та перевагами для бізнесу.