Zatímco US Securities and Exchange Commission zveřejnila pokyny pro lepší řízení kybernetické bezpečnosti po léta je veřejné korporace většinou ignorovaly. A i když může být obtížné splnit požadavky, společnosti, které vynaložily úsilí, vytvořily téměř čtyřnásobek své akcionářské hodnoty ve srovnání s těmi, které tak neučinily.
Společnosti Bitsight a Diligent provedly průzkum tisíců veřejných společností a zjistily korelaci mezi zkušenostmi s kybernetickou bezpečností a průměrnou celkovou návratností akcionářů za tři a pět let. (Zdroj: Bitsight)
To je závěr nového průzkumu, který společně provedly Bitsight and Diligent Institute s názvem „Kybernetická bezpečnost, audit a správní rada.“ Průzkum se hluboce ponořil do více než 4,000 23 středně velkých až velkých společností po celém světě a zkoumal odborné znalosti ředitelů spolu se zkušenostmi členů výboru pro audit a specializovaných rizikových výborů. Změřili odborné znalosti v oblasti kybernetické bezpečnosti v rámci XNUMX různých rizikových faktorů, jako je přítomnost botnetových infekcí, servery hostující malware, zastaralé šifrovací certifikáty pro webovou a e-mailovou komunikaci a otevřené síťové porty na veřejně přístupných serverech.
„Výbory, které vykonávají kybernetický dohled prostřednictvím specializovaných výborů s členem kybernetického experta, než se spoléhat na plnou radu, s větší pravděpodobností zlepší své celkové bezpečnostní postavení a finanční výkonnost,“ říká Ladi Adefala, konzultant pro kybernetickou bezpečnost a generální ředitel Omega315, který souhlasí. se závěry zprávy. Na tomto problému pracoval pro společnost z Fortune 500 a zjistil, že „předsednictvo nemělo specializovanou komisi, která by trávila čas kopáním do kybernetických témat. Neměli také dostatek členů, a proto si nemohou dovolit mít specializované výbory pro kybernetiku,“ říká. Součástí jeho poradenské praxe je i pomoc při zakládání takových výborů, kterým říká poskytování lekcí kybernetické občanské výchovy.
Lidské zdroje stranou, špatná správa kybernetické bezpečnosti není ve skutečnosti novinkou: Veřejné společnosti již léta dávají kybernetické bezpečnosti krátký čas. Například bezpečnostní expert David Froud o tomto tématu píše minimálně od roku 2017. Nové je ale vidět, jak těžké je posoudit kybernetické znalosti a vybudovat trvalou správu.
Podle zprávy Bitsight nejlepší výsledky přináší samostatné výbory správní rady zaměřené na specializovaná rizika a dodržování auditu. Autoři napsali: „Tyto výbory mají lepší pozici, aby se ponořily hluboko do konkrétních problémů kybernetické bezpečnosti, a mohou rozvíjet pevnější vztahy s vedoucími pracovníky pověřenými každodenními operacemi v oblasti kybernetické bezpečnosti. To zase může vést k lepší politice, rozpočtu a dalším rozhodnutím týkajícím se kybernetické bezpečnosti na úrovni správní rady.“
Průzkum zjistil širokou škálu kybernetických zkušeností mezi společnostmi v oblasti zdravotnictví a finančních služeb, které se umístily nejvýše, ve srovnání s průmyslovými společnostmi, které se umístily na nejnižším místě.
Výmluvné je, že velká většina společností odvedla špatnou práci při integraci takových specialistů do svých představenstev a výborů. Zpráva zjistila, že 5 % dotázaných (a 12 % společností z indexu S&P 500) mělo tyto specialisty ve svých představenstvech. Ale jen to, že v představenstvu je CISO nebo CTO, není zárukou výkonu v oblasti kybernetické bezpečnosti. "Tito odborníci musí být integrováni do stávajících struktur" a ochranných opatření, poznamenal Bitsight.
Ve zprávě není zmíněno další slabé místo správy: budování trvalé kybernetické odolnosti. To bylo předmětem dalšího průzkumu, který provedla organizace Cybersecurity at MIT Sloan Research Consortium and publikováno v Harvard Business Review minulý rok. Tým MIT provedl průzkum u 600 členů představenstva a zjistil, že jejich interakce s CISO chybí. Méně než polovina respondentů má pravidelný kontakt se svými CISO, většinou se omezuje na prezentace na zasedáních správní rady a nic jiného.
V mnoha případech se tyto prezentace omezují na mechaniku ochranných opatření, například jak často provádějí cvičení červeného týmu nebo školení o phishingu. Keri Pearlson, výkonná ředitelka konsorcia MIT a spoluautorka (s Lucií Milică, Global Resident CISO v Proofpoint) článku HBR, uvádí analogii s lékařským světem: „Když jsme vystaveni infekci, buď Když neonemocníme, nebo když onemocníme, máme v těle věci, které automaticky začnou pracovat, aby nás vrátily do lepšího stavu.“
Dodává, že je potřeba, aby „výbory diskutovaly o rizicích své organizace vyvolané kybernetickou bezpečností a vyhodnocovaly plány na řízení těchto rizik“.
Jak to shrnuje Adefala: „Nejpřesvědčivějším způsobem je využít kybernetickou bezpečnost jako strategické aktivum pro vytváření příjmů nebo provozní agilitu, spíše než jako provozní nutnost.“
- SEO Powered Content & PR distribuce. Získejte posílení ještě dnes.
- PlatoData.Network Vertikální generativní Ai. Zmocnit se. Přístup zde.
- PlatoAiStream. Inteligence Web3. Znalosti rozšířené. Přístup zde.
- PlatoESG. Uhlík, CleanTech, Energie, Životní prostředí, Sluneční, Nakládání s odpady. Přístup zde.
- PlatoHealth. Inteligence biotechnologií a klinických studií. Přístup zde.
- Zdroj: https://www.darkreading.com/cyber-risk/study-corporations-with-cyber-governance-create-almost-4x-more-value
