Если вы не понимаете, значит, вам плохо объяснили. Руководство и сотрудники вашего отдела кибербезопасности обязаны предоставлять вам материалы и отчеты в форме, доступной пониманию неспециалистов.
На кону всегда бизнес. Все вопросы кибербезопасности начинаются и заканчиваются проблемами бизнеса и рисками, связанными с его процессами и стратегией, а не с компьютерами и их уязвимостями.
Кибербезопасность должна быть у всех на слуху. Рабочие процессы компании, ее деятельность и структура все должно быть неотрывно от заботы о кибербезопасности. Выводите ее из тени, она не просто часть чьего-то функционала.
Не забывайте о мотивации. Знайте, чего хотят ваши сотрудники. Правильно мотивируйте их. Пусть они тоже будут заинтересованы в заботе о кибербезопасности.
ЗадачиУправление киберрисками
Это наиболее важная задача; все остальные опираются на нее и зависят от четкого понимания последствий кибератак. Эффективное управление киберрисками требует грамотной оценки взаимосвязей между наиболее значимыми бизнес-рисками для компании, типами кибератак, которые могут их вызвать, и мерами, способными предотвратить или минимизировать эти риски. Эффективный контроль включает выявление и учет всех нетехнических факторов, которые могут свести на нет даже самые мощные технологии.
Защита компании
Вы существенно укрепите систему кибербезопасности, если задействуете дополнительные инструменты: грамотный подход к организационной структуре компании, выстраиванию ее рабочих процессов и корпоративной культуры. Не менее важно учитывать мотивацию и интересы сотрудников, а процесс оценки угроз должен предполагать ответы на вопросы: «Насколько мы теперь в безопасности?» и «Насколько мы будем в безопасности завтра?» Корректный статус команды кибербезопасности в структуре компании и понимание, нуждаетесь ли вы и ваши коллеги по совету директоров в дополнительной киберэкспертизе, также важные факторы. Именно от механизмов подотчетности зависит ваша возможность получать ценную информацию, необходимую для принятия обоснованных решений.
Лидерство в кризисе
Хотя компания не должна пренебрегать превентивными и защитными мерами, лучше быть во всеоружии: вдруг кризис, вызванный кибератакой, все же грянет? Здесь помогут планирование, подготовка и координация в двух взаимосвязанных областях. Во-первых, компании необходимо научиться распознавать атаки и защищаться от них для этого нужна квалифицированная команда реагирования. Во-вторых, топ-менеджеры должны встать у руля во время киберкризиса, то есть понимать, как относиться к тем или иным ситуациям и какие решения принимать. Используя собранную информацию и материалы, разработанные в процессе снижения рисков, руководители смогут наметить план действий заранее.
ПамяткиКаждая памятка состоит из четырех элементов. Первый запрос, касающийся той или иной задачи в области кибербезопасности. Формулировки приведены так, чтобы вы могли сразу их использовать. Второй элемент краткое обоснование запроса с точки зрения защиты вашей компании и деятельности по управлению киберрисками. Далее приводятся примеры и описания документов, отвечающих запросу. Последний элемент действия, рекомендованные для контроля запроса. Чтобы использовать памятки, опыт в технической сфере не нужен. Зато эти материалы помогут вам всесторонне оценить эффективность управления в области кибербезопасности и киберрисков.
Как пользоваться книгойМы написали эту книгу, чтобы помочь вам как руководителю компании осуществлять контроль над политикой кибербезопасности. Поскольку эта обязанность требует участия многих ваших коллег, здесь также есть рекомендации исполнительным директорам и руководителям, отвечающим за кибербезопасность, как по защите компании, так и по выполнению их обязанностей перед вами и советом директоров. Принципы и советы, изложенные в книге, применимы и в других типах организаций, в том числе государственных учреждениях и некоммерческих организациях.
В книге четыре раздела. Каждый вносит вклад в ваше понимание кибербезопасности и того, чему нужно уделить внимание в этой сфере.
Первая часть, «Проблемы», раскрывает причины, по которым меры в области кибербезопасности порой неэффективны, а разобраться в теме так сложно. Вы сможете критически взглянуть на решения, принимаемые вашей компанией.