Chociaż amerykańska Komisja Papierów Wartościowych i Giełd opublikowała wytyczne dotyczące lepszego zarządzania cyberbezpieczeństwem przez lata korporacje publiczne w większości je ignorowały. I chociaż spełnienie wymagań może być trudne, firmy, które podjęły ten wysiłek, wygenerowały prawie czterokrotnie większą wartość dla akcjonariuszy w porównaniu z tymi, które tego nie zrobiły.

Takie wnioski płyną z nowego badania przeprowadzonego wspólnie przez Bitsight i Diligent Institute, zatytułowanego „Cyberbezpieczeństwo, audyt i zarząd.” W ankiecie objęto dogłębnie ponad 4,000 średnich i dużych firm na całym świecie, badając wiedzę specjalistyczną dyrektorów oraz doświadczenie członków komisji ds. audytu i wyspecjalizowanych komisji ds. ryzyka. Zmierzyli wiedzę specjalistyczną w zakresie cyberbezpieczeństwa pod kątem 23 różnych czynników ryzyka, takich jak obecność infekcji botnetami, serwery hostujące złośliwe oprogramowanie, nieaktualne certyfikaty szyfrowania komunikacji internetowej i e-mailowej oraz otwarte porty sieciowe na serwerach publicznych.

„Zarządy, które sprawują nadzór cybernetyczny za pośrednictwem wyspecjalizowanych komisji, w których skład wchodzi ekspert ds. cyberbezpieczeństwa, zamiast polegać na pełnym zarządzie, z większym prawdopodobieństwem poprawią swój ogólny poziom bezpieczeństwa i wyniki finansowe” – mówi Ladi Adefala, konsultant ds. cyberbezpieczeństwa i dyrektor generalny Omega315, który zgadza się z tym z wnioskami raportu. Pracował nad tym zagadnieniem dla firmy z listy Fortune 500 i odkrył, że „w zarządzie nie istniała specjalna komisja, która zajmowałaby się tematami cybernetycznymi. Nie miały też wystarczającej liczby członków i dlatego nie mogą sobie pozwolić na tworzenie wyspecjalizowanych komisji ds. cyberbezpieczeństwa” – mówi. Częścią jego praktyki konsultingowej jest pomoc w tworzeniu takich komitetów, co nazywa zapewnianiem lekcji cyberobywatelstwa.

Pomijając zasoby ludzkie, złe zarządzanie cyberbezpieczeństwem nie jest tak naprawdę nowością: spółki publiczne od lat bagatelizują kwestię cyberbezpieczeństwa. Na przykład ekspert ds. bezpieczeństwa Dawid Froud pisze na ten temat co najmniej od 2017 r. Nowością jest jednak to, jak trudno jest ocenić wiedzę cybernetyczną i zbudować trwałe zarządzanie.

Według raportu Bitsight najlepsze wyniki daje posiadanie oddzielnych komitetów zarządu zajmujących się wyspecjalizowanym ryzykiem i zgodnością z przepisami. Autorzy napisali: „Komisje te są lepiej przygotowane do zgłębienia konkretnych kwestii związanych z cyberbezpieczeństwem i mogą rozwijać silniejsze relacje z kadrą kierowniczą odpowiedzialną za codzienne operacje związane z cyberbezpieczeństwem. To z kolei może prowadzić do podejmowania lepszych decyzji w zakresie polityki, budżetu i innych kwestii związanych z cyberbezpieczeństwem na poziomie zarządu.”

Badanie wykazało szeroki zakres doświadczeń cybernetycznych wśród firm z branży opieki zdrowotnej i usług finansowych – które zajęły najwyższe miejsca – w porównaniu z firmami przemysłowymi, które zajęły najniższą pozycję.

Wymowne jest to, że zdecydowana większość firm słabo spisała się, włączając takich specjalistów do swoich zarządów i komitetów. Z raportu wynika, że ​​5% ankietowanych (i 12% spółek z indeksu S&P 500) ma takich specjalistów w swoich zarządach. Jednak samo posiadanie w zarządzie CISO lub CTO nie gwarantuje wydajności cyberbezpieczeństwa. „Eksperci ci muszą zostać zintegrowani z istniejącymi strukturami” i środkami ochronnymi, zauważył Bitsight.

W raporcie nie wspomniano o innym słabym punkcie zarządzania: budowaniu trwałej odporności cybernetycznej. Było to przedmiotem kolejnej ankiety przeprowadzonej przez konsorcjum badawcze MIT Sloan Research Consortium i Cybersecurity opublikowanych w Harvard Business Review ostatni rok. Zespół MIT przeprowadził ankietę wśród 600 członków zarządów i stwierdził, że brakuje im interakcji z CISO. Mniej niż połowa respondentów ma regularny kontakt ze swoimi CISO, ograniczający się głównie do prezentacji na posiedzeniach zarządu i niewiele więcej.

W wielu przypadkach prezentacje te ograniczają się do mechaniki środków ochronnych, np. częstotliwości przeprowadzania ćwiczeń zespołu czerwonego lub szkoleń w zakresie świadomości phishingu. Keri Pearlson, dyrektor wykonawcza konsorcjum MIT i współautorka (wraz z Lucią Milică, globalną rezydentką CISO w Proofpoint) artykułu HBR, dokonuje analogii ze światem medycznym: „Kiedy jesteśmy narażeni na infekcję, albo nie jeśli zachorujemy, a jeśli rzeczywiście zachorujemy, w naszych ciałach znajdują się pewne czynniki, które automatycznie zaczynają działać, aby przywrócić nam zdrowie”.

Dodaje, że potrzebne jest, aby „zarządy omawiały ryzyko związane z cyberbezpieczeństwem organizacji i oceniały plany zarządzania tym ryzykiem”.

Jak podsumowuje to Adefala: „Najbardziej przekonującym sposobem jest wykorzystanie cyberbezpieczeństwa jako strategicznego zasobu służącego do generowania przychodów lub elastyczności operacyjnej, a nie jako konieczności operacyjnej”.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/cyber-risk/study-corporations-with-cyber-governance-create-almost-4x-more-value