Kuigi USA väärtpaberi- ja börsikomisjon on avaldanud juhised küberjulgeoleku paremaks juhtimiseks aastaid on avalik-õiguslikud ettevõtted neid enamasti ignoreerinud. Ja kuigi nõudeid võib olla raske täita, loonud ettevõtted, kes on teinud jõupingutusi, peaaegu neli korda suurema aktsionäride väärtuse kui need, kes pole seda teinud.

See on Bitsighti ja Diligent Institute'i ühiselt läbiviidud uue küsitluse järeldus "Küberjulgeolek, audit ja juhatus.” Uuring hõlmas enam kui 4,000 keskmise suurusega kuni suurettevõtet üle maailma, uurides nii juhtide asjatundlikkust kui ka auditi- ja riskikomitee liikmete tausta. Nad mõõtsid küberturbealast asjatundlikkust 23 erineva riskiteguri osas, nagu botnet-nakkused, pahavara hostivad serverid, veebi- ja e-posti side aegunud krüpteerimissertifikaadid ning avalike serverite avatud võrgupordid.

"Juhatustel, mis teostavad küberjärelevalvet spetsialiseeritud komiteede kaudu, kus on küberekspert liige, mitte toetudes täiskogule, parandavad tõenäolisemalt oma üldist turvalisust ja finantstulemusi," ütleb küberturbe konsultant ja Omega315 tegevjuht Ladi Adefala. koos aruande järeldustega. Ta töötas selle teemaga Fortune 500 ettevõttes ja leidis, et „juhatusel ei olnud keskendunud komisjoni, kes kulutaks aega küberteemadesse süvenemiseks. Samuti ei olnud neil piisavalt liikmeid ja seetõttu ei saa nad endale lubada kübervaldkonna spetsialiseerunud komiteesid, ”ütleb ta. Üks osa tema nõustamispraktikast on selliste komiteede loomisele kaasaaitamine, mida ta nimetab küberkodanikuõpetuse tundide pakkumiseks.

Kui jätta kõrvale inimeste ressursid, pole kehv küberjulgeoleku juhtimine tegelikult uudis: riigiettevõtted on aastaid küberjulgeolekuga tegelenud. Näiteks turvaekspert David Froud on sellel teemal kirjutanud vähemalt 2017. aastast. Uus on aga see, kui raske on küberteadmisi hinnata ja kestvat valitsemist üles ehitada.

Bitsighti aruande kohaselt annab parimaid tulemusi eraldi juhatuse komiteed, mis keskenduvad spetsiaalsetele riskidele ja auditi nõuetele vastavusele. Autorid kirjutasid: "Neil komiteedel on parem positsioon konkreetsetesse küberjulgeolekuprobleemidesse sukeldumiseks ja nad saavad arendada tugevamaid suhteid igapäevaste küberjulgeolekutoimingute eest vastutavate juhtidega. See võib omakorda kaasa tuua parema küberturvalisusega seotud poliitika, eelarve ja muude otsuste tegemise juhatuse tasandil.

Uuring näitas, et tervishoiu- ja finantsteenustega seotud ettevõtete seas on lai valik küberkogemusi, mis olid kõrgeimal kohal, võrreldes tööstusettevõtetega, mis olid kõige madalamal.

Kõnekas on see, et valdav enamus ettevõtteid on selliste spetsialistide juhatusse ja komiteedesse integreerimisel halvasti teinud. Aruandest selgus, et 5% küsitletutest (ja 12% S&P 500 ettevõtetest) olid need spetsialistid oma juhatuses. Kuid pelgalt CISO või CTO olemasolu juhatuses ei taga veel küberturvalisuse toimimist. "Need eksperdid tuleb integreerida olemasolevatesse struktuuridesse" ja kaitsemeetmetesse, märkis Bitsight.

Aruandes ei mainitud veel üht juhtimisalast nõrka kohta: püsiva kübervastupidavuse loomist. See oli teise küsitluse teema, mille viis läbi MIT Sloani uurimiskonsortsiumi küberturvalisus ja avaldati ajakirjas Harvard Business Review eelmisel aastal. MIT-i meeskond küsitles 600 juhatuse liiget ja leidis, et nende suhtlus CISO-dega puudub. Vähem kui pooltel vastajatest on regulaarne kontakt oma CISO-ga, piirdudes enamasti juhatuse koosolekutel tehtud ettekannetega ja mitte palju muuga.

Paljudel juhtudel piirduvad need esitlused kaitsemeetmete mehaanikaga, näiteks sellega, kui sageli nad viivad läbi punase meeskonna harjutusi või andmepüügiteadlikkuse koolitust. Keri Pearlson, MIT konsortsiumi tegevdirektor ja HBR artikli kaasautor (koos Lucia Milicăga, CISO globaalne resident Proofpointis) toob analoogia meditsiinimaailmaga: "Kui puutume kokku nakkusega, siis me kas me ei jää haigeks või kui me haigestume, on meie kehas asju, mis hakkavad automaatselt tööle, et meid paremaks muuta.

Ta lisab, et "juhatustel on vaja arutada oma organisatsiooni küberturvalisusest tingitud riske ja hinnata nende riskide maandamise plaane."

Nagu Adefala selle kokku võtab: "Kõige mõjuvam viis on kasutada küberjulgeolekut pigem tulude loomise või operatiivse paindlikkuse strateegilise varana, mitte operatiivse vajadusena."

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/cyber-risk/study-corporations-with-cyber-governance-create-almost-4x-more-value