Цифровизация бизнеса приводит к тому, что руководители компаний заявляют: «кибербезопасность — это вопрос совета директоров» — и включают связанные с этим вопросы в повестку заседаний. Кажется, что руководитель направления информационной безопасности (CISO) может вздохнуть с облегчением и старательно исполнять указания генерального директора и совета, но всё не так просто. О системных проблемах, связанных с интеграцией безопасности в бизнес-процессы, рассказываем под катом.

Результаты опроса 365 специалистов по кибербезопасности в средних и крупных компаниях США, Канады и Западной Европы, проведённого исследовательской фирмой Enterprise Strategy Group (ESG) по заказу Trend Micro, принесли довольно неутешительные выводы: кибербезопасность до сих пор остаётся на вторых ролях, причём в большинстве случаев организации считают, что им хватит «достаточно хорошей», или «базовой», защиты.

Об опросе

Чтобы собрать данные для отчёта, был проведён комплексный онлайн-опрос среди специалистов старшего звена в области бизнеса, кибербезопасности и ИТ из организаций частного и государственного секторов в Северной Америке (США и Канада) и Западной Европе (Великобритания, Франция и Германия) в период с 28 сентября по 24 октября 2020 года. Для участия в опросе от респондентов требовалось, чтобы они лично отвечали за работу организации и реализацию бизнес-стратегии или были с ней хорошо знакомы. Всем респондентам был предоставлен стимул заполнить анкету в виде денежных премий и/или их эквивалентов.

Кто принимал участие в опросе. Источник: ESG
Кто принимал участие в опросе. Источник: ESG

После фильтрации неквалифицированных респондентов, удаления дубликатов ответов и проверки оставшихся заполненных ответов, была получена окончательная выборка из 365 старших руководителей предприятий, специалистов по кибербезопасности и ИТ-специалистов.

Главные проблемы, которые выявил опрос

  1. В большинстве организаций кибербезопасность считается технологической областью, не связанной с бизнесом, или чем-то из разряда никому не нужных бумажек, которые не приносят прибыли.

  2. Кибербезопасность финансируется по минимуму, потому что руководству достаточно «базовой», а не хорошей безопасности.

  3. Несогласованность с CISO в выборе моделей управления безопасностью.

  4. Значительный рост киберрисков за последние два года.

  5. Уровень зрелости связанных с безопасностью процессов во многих компаниях недостаточен.

  6. Отсутствует чёткое распределение ответственности и обязанностей между ИБ и ИТ. 

Рассмотрим некоторые из этих выводов подробнее.

«Кибербезопасность — технологические штучки и бумажки, которые не приносят прибыли»

Большая часть респондентов (69%) считает, что кибербезопасность — это технологическое направление, пусть даже и с некоторым уклоном в бизнес-задачи.

Отношение к кибербезопасности. Источник: ESG
Отношение к кибербезопасности. Источник: ESG

Ещё 11% опрошенных считают, что кибербезопасность — это деятельность, связанная с нормативными документами и выполнением требований регуляторов, то есть, по сути, никому не нужные бюрократические процедуры и бумажки.
Такой результат разочаровывает, поскольку показывает характерную для всей отрасли недооценку значимости кибербезопасности для бизнеса.

«Нам достаточно “базовой” защиты»

Ещё одна знакомая всем ответственным за ИБ ситуация: руководство готово финансировать решение задач, связанных с требованиями регуляторов, невыполнение которых грозит штрафами, а в остальном считает, что вполне достаточно «базового» уровня кибербезопасности.

Как опрошенные оценивают различные аспекты кибербезопасности в своих организациях. Источник: ESG
Как опрошенные оценивают различные аспекты кибербезопасности в своих организациях. Источник: ESG

Такое «минималистское» отношение прослеживается в нескольких областях:

  • в 41% организаций позиция руководства по кибербезопасности оценивалась как приемлемая или хуже среднего;

  • в 43% организаций оценили готовность интегрировать кибербезопасность в бизнес-процессы и ИТ-инициативы как приемлемую или хуже среднего;

  • в 54% компаний все сотрудники относятся к кибергигиене приемлемо или хуже среднего;

  • даже нетехнические руководители, отвечающие за кибербезопасность, оценили ситуацию как очень хорошую лишь в 29% компаний, что ещё более показательно.

«Мы лучше знаем, что нам нужно»

Для управления киберрисками CISO используют многочисленные системы и стандарты, например, NIST Risk Management Framework (NIST 800-53), NIST Cybersecurity Framework, а также различные рейтинговые сервисы.
Опрос показал, что многие CISO, отталкиваясь от «любимых» стандартов, создают собственные руководства по управлению рисками, выбирая то, что кажется им наиболее уместным для их организаций. Это помогает создать адаптированную к реалиям компании систему управления кибербезопасности, но в то же время затрудняет сравнение своих показателей с коллегами или конкурентами: если в одной компании в качестве основной метрики выбрано количество предотвращенных кибератак, а в другой, например, число обработанных SOC событий.

Фреймворки и стандарты, используемые для управления киберрисками. Источник: ESG
Фреймворки и стандарты, используемые для управления киберрисками. Источник: ESG

Проблема в том, что при смене ИБ-руководителя весь наработанный им опыт уходит вместе с ним, а новому человеку приходится начинать создание системы управления кибербезопасности практически с нуля.

Выросшие киберриски

Подавляющее большинство (82%) респондентов — считают, что уровень киберрисков за последние два года значительно вырос.

Ответы на вопрос о динамике киберрисков. Источник: ESG
Ответы на вопрос о динамике киберрисков. Источник: ESG

В качестве наиболее значимых причин этого респонденты, помимо роста количества угроз, отмечают:

  • рост зависимости бизнес-процессов от технологий (35%);

  • размещение большего числа активов в интернете и увеличение возможного периметра для атак (33%);

  • вовлечение бизнес-руководства в процесс управления киберрисками расширило понимание проблем и выявило новые риски (28%);

  • появление дополнительных требований со стороны регуляторов (28%);

  • более широкое использование SaaS-решений (28%).

Недостаточный уровень зрелости ИБ-процессов

Стратегия корпоративной кибербезопасности должна быть сосредоточена на направлениях, которые поддерживают основные бизнес-процессы компании. К сожалению, по данным опроса, даже традиционные направления кибербезопасности оказались достаточно зрелыми менее чем в половине компаний:

  • процессы защиты конфиденциальности, целостности и доступности отмечают как зрелые лишь в 40% организаций;

  • процессы, связанные с обнаружением и предотвращением угроз — в 36% организаций;

  • безопасность облачных приложений расценены зрелыми в 34% организаций.

Наименее зрелыми оказались управление рисками третьих сторон, безопасность конечных точек и безопасность цикла проектирования/разработки (SDLC).

Несогласованность ИТ и ИБ

Исследование показывает, что CISO находятся в более тесном контакте с CIO, чем любые другие руководители, и команды ИТ и ИБ решают родственные задачи. Именно поэтому их согласованность важна, поскольку оба подразделения работают в областях, которые могут повлиять на бизнес, таких как защита критически важных активов, мониторинг угроз и снижение рисков.

Как оценивается уровень взаимодействия ИТ и ИБ. Источник: ESG
Как оценивается уровень взаимодействия ИТ и ИБ. Источник: ESG

Радует, что почти половина опрошенных (45%) отметила, что подразделения ИТ и ИБ работают в связке как единая команда.

Выводы

Современный бизнес зависит от информационных технологий. Это и облачная инфраструктура, и приложения, и IoT-устройства, а в пандемических реалиях сюда добавляются многочисленные удалённые сотрудники, которые подключаются к офисной сети через VPN. Для обеспечения непрерывности бизнеса нужно защитить информационные и технологические активы от кибервторжений.

Финансовые и репутационные последствия многочисленных инцидентов с шифровальщиками-вымогателями угрожают бизнесу, поэтому вполне закономерно кибербезопасность стала объектом пристального внимания со стороны бизнес-руководителей.

С одной стороны, генеральный директор действительно отвечает не только за результаты деятельности компании, но и за ущерб от хакерских атак. С другой, кибербезопасность — это высокотехнологичная дисциплина: чтобы эффективно управлять ею, нужно глубоко разбираться в фундаментальных понятиях. Без этого попытки вмешаться в управление безопасностью могут привести к трагическим последствиям.

Рекомендации

— Создайте правильную структуру взаимодействия

В 45% компаний CISO отчитываются перед CIO, и только в 42% — перед CEO. Между тем непосредственное взаимодействие ИБ-руководителя с бизнес-руководством является наиболее эффективным подходом и приносит больше пользы. Прямое взаимодействие позволяет передать руководителям компаний больше информации о кибербезопасности, а ИБ-руководителям, в свою очередь, — из первых рук получить больше информации о задачах бизнеса.

— Утвердите официальную стратегию кибербезопасности

В большей части компаний стратегии обеспечения кибербезопасности бессистемны и технически ориентированы. Для согласования стратегии кибербезопасности с бизнесом она должна быть формализована и задокументирована, установлены понятные и объективные метрики и критерии эффективности. Это поможет CISO обсуждать задачи кибербезопасности с высшим руководством на языке бизнеса.

— Внедрите должность BISO

Отметим, что 18% организаций говорят о том, что они могли бы лучше согласовать элементы кибербезопасности с бизнесом, создав пост бизнес-руководителя по ИБ (Business Information Security Officer, BISO) в ключевых подразделениях. Руководитель, обладающий знаниями в области бизнеса и кибербезопасности, поможет улучшить безопасность на уровне бизнес-процессов, важных активов, конфиденциальных данных и ролей сотрудников, а также согласовать безопасность с целевыми ориентирами бизнеса.