4 принципа за киберсигурност за 5 пъти повече резултати

Киберсигурността трябва да е част от бизнес стратегията и целите, подчертава Петко Петков, директор "Дигитална идентичност" за Югоизточна Европа, PwC

Рисковете се увеличават и организациите знаят това. Повече от 50% от компаниите очакват ръст на докладваните инциденти през следващата година спрямо нивата от 2021 г. Това показват резултатите от проучването Digital Trust Insights 2022 на PwC, в което взимат участие над 3600 бизнес лидери и експерти по сигурност от целия свят.

Проучването цели да покаже как опростяването на бизнес процеси и операции може да направи компаниите по-защитени. Една от работещите концепции за това е 4P - 4 принципа, чрез които компаниите могат да реализират пълния си киберпотенциал.

Всички участници в проучването потвърждават, че четирите P (Principle - принцип; People - хора; Prioritization - приоритизиране; Perception - възприятие) са ключови за развитието на киберсигурността в техните компании. Данните показват, че всички компании, отчитащи значително подобрение през последните две години, са работили спрямо тези принципи, които са им помогнали да усъвършенстват програмите си за киберсигурност.

По какъв начин 4P се свързват с резултатите от проучването и ключовите изводи разясняват експертите на PwC.

Principle (принцип)

Главният изпълнителен директор трябва да формулира ясен принцип, който да направи сигурността и поверителността ключови за бизнеса.
За да стане киберсигурността приоритет за цялата компания, тя първо трябва да е приоритет на мениджмънта. Изпълнителните директори и директорите по сигурност на информацията осъзнават това. За да се подобри връзката между експертите по киберсигурност и бизнес лидерите обаче, те трябва да разберат, че това е двустранен процес. Задължение на експертите по киберсигурност е да намерят правилния начин за комуникация с организацията и да представят данните така, че ръководителите да могат да вземат информирани решения. Ефективната работа не е задължително обвързана само с висок бюджет и подкрепа от мениджмънта.

От друга страна, бизнес лидерите трябва да осъзнаят ролята и отговорността си относно киберсигурността. Те трябва да задават правилните въпроси и изискват необходимата информация, да са наясно с целите на компанията и да ги съпоставят с рисковете и заплахите. Един от най-важните елементи от успешната стратегия за киберсигурност е възприятието на висшето ръководство за тази функция. Докато гледаме на киберсигурността като на "необходимо зло", няма да имаме добри резултати, тъй като това възприятие се предава към останалите служители. Киберсигурността трябва да е част от бизнес стратегията и целите, за да се гарантира, че ще бъде имплементирана навсякъде. Резултатите от проучването на PwC показват, че се работи в тази посока, но има още какво да се постигне.

People (хора)

Назначете лидер и оставете директорът по сигурността на информацията и екипите по сигурността да се свържат със служителите. Колко сложна е киберсигурността всъщност? Това е въпрос, който много хора, които не са част от този бизнес, си задават много често, а стандартният отговор на консултанта е: зависи. :)

Истината е, че зависи от начина, по който гледате на нея. Един от начините да усложните дейностите по киберсигурност и поверителност е да се опитате да разделите отговорностите на различни хора в организацията, без да има общи възгледи и стратегия. Ето защо ролята на директора по сигурността на информацията в организацията е изключително важна. Той трябва да преведе бизнес посоката във възможно най-разбираемата, ефективна и интегрирана стратегия за киберсигурност, която дава увереност на бизнеса да продължи напред и да засилва възможностите му. Резултатите от проучването на PwC показват амбицията на организациите да инвестират в киберсигурност, което в крайна сметка е предимно инвестиция в хора. Сега е моментът тази амбиция да бъде насочена в правилната посока.

Prioritisation (приоритизиране)

С нарастването на дигиталните амбиции рисковете се променят постоянно. Докато организациите се фокусират върху текущите си проблеми и дигитализацията, те все по-трудно следят приоритетите си и доминиращите киберрискове в съответната среда. Методите на хакерите варират спрямо организациите, технологиите, активите и служителите. Ресурсите на предприятието почти винаги са ограничени и се използват за финансиране и на други рискове. Затова управлението на киберрисковете на всички нива трябва да бъде координирано и приоритизирано, за да се постигне максимална ефективност и да се гарантира, че и най-критичните нужди са адекватно адресирани.

Приоритизирането, реакцията и агрегирането на риска трябва да бъдат обобщени и оптимизирани, за да помогнат в насочването на комуникацията, свързана с рисковете в предприятието и вземането на решения. За да може киберрискът да бъде оценен и идентифициран адекватно, е от съществено значение да бъде приложен подходът за приоритизиране на риска. Това ще даде възможност на организациите да приоритизират най-важните рискове за тяхната среда и да насочат именно натам усилията си. Резултатите от проучването на PwC показват, че бизнес лидерите искат да премерят киберрисковете в непрекъснато променящата се среда, но за да бъде това ефективно, са необходими допълнителни усилия.

Perception (възприятие)

Не може да защитите това, което не може да видите. Открийте слабото място във вашите бизнес взаимоотношения и вериги на доставките. Ключов елемент в изграждането на силна среда за киберсигурност е способността заплахите да се предвидят, преди да станат факт. Докато организациите се стремят да се справят с рисковете, свързани с дигитализацията и по-високата свързаност, те често пренебрегват скритите заплахи, които носят отношенията с други организации и институции. При управление на киберрисковете, свързани с трети страни, организациите трябва да предприемат подход за комуникация, основаващ се на нулево доверие. Какво значи това?

Подобни киберрискове се управляват чрез due diligence - надлежна проверка на третите страни, в резултат на която да се оформят договорните споразумения. Периодичните оценки, базирани на риска, трябва да се извършват въз основа на договорните споразумения, променящите се заплахи, както и най-добрите практики и стандарти в индустрията. Това ще позволи на организациите да оптимизират използването на ресурсите си, за да управляват ефективно и непрекъснато тези рискове.

Резултатите от проучването на PwC показват, че бизнес лидерите по целия свят трябва да извървят дълъг път, докато разберат кибер рисковете, които трети страни биха могли да носят.
За проучването:

В Global Digital Trust Insights 2022 взимат участие 3602 ръководители на бизнеси и експерти по сигурност и технологии (изпълнителни директори, корпоративни директори, финансови директори, директори по сигурността на информацията и т.н.). Проучването е проведено през юли и август 2021 г., като 33% от участниците са жени.

Респондентите работят в различни индустрии: технологии, медии, телекомуникации (23%), промишлено производство (22%), финансови услуги (20%), ритейл (16%), енергия, комунални услуги и ресурси (8%), здравеопазване (7%) и правителствени и обществени услуги (3%).

Респондентите са базирани в различни региони: Западна Европа (33%), Северна Америка (26%), Азиатско-Тихоокеански регион (18%), Латинска Америка (10%), Източна Европа (4%), Близкия изток (4%) и Африка (4%).