Правильный подход к кибербезопасности

Software
Источник: GAAP.RU
Опубликовано: 22 июня 2017

Автор: Синди Форнелли, исполнительный директор американского Центра качества аудита (Center for Audit Quality - CAQ) при AICPA

Источник: CFO

Управление киберрисками должно быть гибким и отталкиваться от ключевых принципов, а не свода обязательных правил

Участники рынков капитала всех уровней сегодня как никогда заряжены на активные действия в области, затрагивающей, наверное, всех из нас – кибербезопасности. В ходе недавнего опроса 50% исполнительных директоров в США признались, что они “весьма обеспокоены” киберугрозами. Это вопрос сегодня обсуждают на заседаниях советы директоров, в то время как инвесторы в основной своей массе рассматривают кибератаки в качестве одного из самых больших рисков для своих портфелей. Для регуляторов в США и за рубежом кибербезопасность продолжает подниматься вверх в списке наиболее приоритетных задач.

Растущая обеспокоенность в отношении киберугроз объяснима и даже необходима - с учетом актуальности мер противодействия им и ошеломительных общих потерь в результате атак. В то же время, по мере приближения момента для начала действий, нам необходимо рассмотреть общие подходы к управлению рисками кибербезопасности, поскольку возможных путей продвижения существует несколько. Сказать больше, кибербезопасность – это вообще очень непростая область, если учесть ее сложную и изменяющуюся природу. Организации сталкиваются с различными угрозами и их источниками в контексте безостановочных и быстрых технологических изменений.

Так какой подход стоит выбрать в этих непростых условиях? Какой будет наша модель решения проблем кибербезонасности? Для выбора нужно принять в расчет три фактора:

Во-первых, подход к управлению киберрисками должен основываться на принципах, с акцентом на конечном результате, а частному сектору нужно позволить использовать свою подвижность, энергию и инновации для его достижения. В кибербезопасности ключевая цель – позволить компаниям самим внедрить у себя строгие программы управления киберрисками, которые “заточены” под их уникальные условия, потребности, склонность к риску и угрозы, с которыми они сталкиваются.

Нужно помнить, что достижение этой конечной цели стает все более затруднительным вместе с более точными указаниями и стандартами, которые заставляют компании следовать наборам требований, плохо соотносящихся с их бизнесом и рисками. Здесь уже управление киберрисками превращается в обременительное упражнение на комплайенс, в котором единственным источником затрат становится простое “проставление галочек” и ничего более. Несомненно, следовать этим путем нам не следует.

Во-вторых, правильный подход к кибербезопасности должен основываться и отталкиваться от качественных наработок, что уже есть в этой области. Несколько организаций уже разработали основы управления киберрисками, чтобы помочь в этом компаниям – например, Международная организация по стандартизации (International Organization for Standardization – ISO) или Национальный институт стандартов и технологий (National Institute of Standards and Technology – NIST).

В-третьих, необходимо стимулировать компании к действиям. Они должны вознаграждаться за добросовестные усилия, направленные на устранение взлома, обнаружение киберугроз, своевременную нейтрализацию последствий взлома.

Хотя консенсус по описанному здесь подходу на основе трех ключевых пунктов пока еще не найден, есть обнадеживающие движения в этом направлении. Так, недавно Американский Институт сертифицированных бухгалтеров (AICPA) представил основы отчетности по кибербезопасности на уровне отдельно взятого предприятия, с помощью которых организации смогут информировать широкий спектр своих стейкхолдеров (включая советы директоров, старший менеджерский состав, инвесторов и т.д.) о деталях программ управления киберрисками. В “Основах…” от AICPA можно выделить три компоненты:

  • Первая – описание менеджментом программ управления киберрисками в организации на основе подходящих для этого критериев
  • Вторая – это гарантии менеджмента относительно описания и эффективности рычагов контроля, использующихся для достижения целевых задач кибербезопасности в данной организации
  • Наконец, третья – это мнение CPA (сертифицированного аудитора) относительно описания и эффективности рычагов контроля, использующихся для достижения целевых задач кибербезопасности в данной организации

“Основы...” киберотчетности от AICPA базируются на принципах и полностью добровольны; компаниям даже нет нужды следовать всем трем компонентам сразу. Вместо того чтобы предписывать жесткие требования, эти критерии на самом деле предлагают различные типы политик и процедур, которые компании могут использовать у себя для управления рисками кибербезопасности. С помощью критериев они могут сами решить, что для них лучше.

Более того, “Основы…” от AICPA отталкиваются от уже существующих структур кибербезорасности и управления рисками. Они берут за основу традиционные стандарты управления киберрисками – например, те же NIST и ISO – и соотносят их со стандартом внутреннего контроля от COSO 2013 года, что означает, что кибербезопасность теперь можно интегрировать в более широкую программу управления корпоративными рисками в организации.

И последнее, но оттого не менее важное: подход AICPA действительно стимулирует компании к принятию мер. Хотя сами по себе “Основы” и не гарантируют полностью отсутствие кибератак, они дают компаниям все преимущества независимого и объективного суждения относительно их программ управления киберрисками. Помимо поднятия уверенности компаний в своих силах, это независимое мнение также служит источником полезной для принятия решений информации другими участниками процесса – в том числе инвесторам и директорам.

Основы отчетности по кибербезопасности от AICPA – это определенно шаг вперед в плане использования ресурсов частного сектора, повышения доверия со стороны инвесторов и других стейкходеров. Это прогресс на правильном пути обеспечения кибербезопасности.

Теги: кибербезопасность  киберриски  управление киберрисками  киберугрозы  кибератаки  управление рисками кибербезопасности  Международная организация по стандартизации  International Organization for Standardization  ISO  Национальный институт стандартов и тех