Время прочтения: 4 мин.

Перевод статьи Ричарда Чемберса на актуальную проблему современного мира.

«Информированность об уязвимостях, связанных с облачными хранилищами, внутренними угрозами и сторонними рисками растет благодаря последним случившимся кибернарушениям. Они показывают, насколько сложными и взаимосвязанными могут быть кибер-риски. Это обязывает все организации к глубокому пониманию кибер-рисков в масштабах предприятия, а также киберкультуры самой организации.

В своем блоге с 2018 года я пересматриваю важность сотрудничества внутреннего аудита с «IT-лидерами» и значение понимания кибер-культуры.

За последние десять лет кибербезопасность прошла путь от таинственной IT-проблемы, для решения которой лучше пригласить службу информационной безопасности, до основной приоритетной проблемы совета директоров и исполнительного руководства. Тем не менее, прогресс был мучительно медленным для проблемы, которая (по всеобщему согласию) развивается с головокружительной скоростью.

Сообщения о громких кибератаках в настоящее время являются обычным явлением, и ни один сектор или индустрия не застрахованы от угрозы. Действительно, Координационный центр по защите прав на конфиденциальность[1] задокументировал более 8600 нарушений сохранности данных с 2005 года, в том числе 831- в 2017 году. При этом, известно, что эта статистика не исчерпывающая – в задокументированные данные входят не все успешные кибератаки. По оценке группы, конфиденциальность более 11 миллиардов данных была нарушена с тех пор, как они начали отслеживание взломов.

Несмотря на это, я должен признаться, что обеспокоен каждый раз, когда читаю о кибератаках, которых можно было бы избежать. Слишком часто успешные взломы связаны не с технологическими, а с человеческими недостатками. Это особенно тревожно, если учесть, что кибербезопасность занимает первое или одно из первых мест в фокусе руководства и правления.

Я начинаю задаваться вопросом, является ли бездействие в некоторых организациях следствием понимания масштаба угрозы? Сдаются ли компании и попросту принимают ли то, что, по их мнению, будет «неизбежным»?

Несмотря на понимание того, что утечки данных могут привести к невероятным финансовым и репутационным потерям, организации не предпринимают все разумные меры для собственной защиты.

Исследование Спенсера Стюарта на 500 компаний S&P показало, что, хотя Советы директоров в 2017 году наняли наибольшее число новых директоров (397) с 2004 года, лишь скудные 19 процентов из них имели опыт работы в области технологий. Это говорит о том, что, несмотря на понимание важности наличия у директоров осведомленности в части IT и кибербезопасности, активных действий при принятии на работу новых топ-менеджеров в этом направлении не происходит.

Если руководство капитулирует перед лицом рисков кибербезопасности, то внутренние аудиторы не могут позволить себе присоединиться к ним. Частью сферы охвата внутреннего аудита должна быть оценка киберкультуры организации и помощь в создании «кибер-подкованной» культуры. Точно так же, как внутренний аудит может встроить проверки киберкультуры в свои стандартные проверки, он также может оценить, как культура способствует успехам и неудачам в области кибербезопасности.

Внутренний аудит должен работать сообща со службой информационной безопасности для выявления слабых мест в системе контроля и практики кибербезопасности организации. Особенно важно, чтобы отношения между внутренним аудитом и IT-руководителями были здоровыми и основанными на сотрудничестве, ведь они работают на одну и ту же цель.

Во всех случаях внутренний аудит должен давать Совету прямую и объективную оценку того, как осуществляется контроль кибербезопасности в организации, поддерживает ли ее культура или работает против нее. Не менее важно и то, что мы должны обеспечить уверенность в готовности организации реагировать, если/когда произойдут нарушения кибербезопасности».

Ситуация с киберугрозами беспокоит весь мир и меняет фокусы внимания компаний. Так, например, крупная международная аудиторская сеть компаний — PWC (PricewaterhouseCoopers) – предлагает услуги по организации системы информационной безопасности. К ним можно отнести процедуры и программы повышения осведомленности, сертифицированные программы обучения. Специалисты компании помогают клиентам осознать важность обеспечения кибербезопасности в деятельности организации на любом уровне организационной структуры.

Действительно, в любой крупной финансовой организации борьба с киберпреступностью занимает особое место. На уровне «внешних» клиентов – это правила личной кибербезопасности (обычно их можно изучить на официальном сайте), а на уровне «внутренних» клиентов – проводимые «учения», которые позволяют сотрудникам ориентироваться в вопросах кибербезопасности и не попадаться на уловки мошенников.

Безусловно, отдельно взятая компания или банк не в состоянии справиться с угрозой кибератаки без сотрудничества с другими структурами – здесь необходима вовлеченность как руководства предприятий, так и внутреннего аудита, который должен давать оценку кибербезопасности в организации и обеспечивать уверенность в готовности организации к отражению кибератак.

Поделитесь, выстроена ли в Вашей организации система защиты от киберугроз?

[1] Калифорнийская некоммерческая корпорация, основанная в Университете Сан-Диего