12 советов по эффективному представлению кибербезопасности совету директоров

Кибербезопасность - главная забота советов директоров.

Фактически, 42% из почти 500 руководителей, опрошенных Национальной ассоциацией корпоративных директоров, указали риски кибербезопасности как одну из пяти наиболее серьезных проблем, с которыми они сталкиваются - сразу после изменений в нормативно-правовом климате и экономического спада, пишет издание CSO.

В результате руководители службы безопасности все чаще обращаются к советам директоров, чтобы проинформировать их о рисках, с которыми они сталкиваются, и о стратегиях их снижения.

«Все больше советов директоров говорят: поговорите с нами, расскажите, что нам нужно знать », - говорит Гэри Хейслип, директор по информационной безопасности компании Webroot, занимающейся интернет-безопасностью, и ветеран совета директоров.

Тем не менее, многие члены совета директоров обнаруживают, что не получают нужную информацию от своих руководителей службы информационной безопасности.

«Члены правления говорят о киберрисках, а комитеты по рискам и по аудиту тратят много времени на опросы директоров по информационной безопасности, и в целом они недовольны этим опытом», - говорит Дэвид Чинн, старший партнер консалтинговой фирмы McKinsey & Co.

Руководители отделов информационной безопасности могут предпринять некоторые шаги, чтобы избежать таких негативных отзывов. Несколько опытных руководителей поделились своими советами для представления руководству компании.

1. Проделайте больше подготовительной работы

Ожидается, что руководители подготовят письменные отчеты для распространения среди членов совета директоров за несколько недель до их личного представления совету директоров. Некоторые думают, что предварительной работы достаточно, но опытные руководители и советники по лидерству говорят, что директорам по информационной безопасности (особенно тем, у кого мало времени до советов директоров) необходимо провести более целенаправленную подготовительную работу или даже пройти специальное обучение.

Перед тем, как Хейслип впервые предстал перед новым советом директоров, он попросил своего финансового директора связать его с директором, который готов помочь ему подготовиться к презентации. «Если я собираюсь отчитаться перед советом директоров и никогда раньше с ними не разговаривал, я не хочу входить в зал заседаний в холодном состоянии. Я не знаю, какие вопросы они задают. Я не знаю, что они хотят знать. Поэтому я поговорю со своими коллегами, поспрашиваю других руководителей, которые отчитываются перед советом директоров, и получаю их отзывы - кто там, какие они, какие вопросы задают - чтобы я знал, с кем я собираюсь поговорить, и как им хочется, чтобы данные были представлены», - говорит он.

2. Предложите оценку

Хэйслип говорит, что подготовительная работа, а также его последующий опыт представления правлению научили его кое-чему о том, что директора хотят знать, то есть оценке состояния кибербезопасности компании и того, как следует улучшить именно эту позицию.

«Скажите им, где вы сейчас находитесь и где вам нужно быть. И каждый раз, когда вы приходите, вы делитесь информацией о новых рисках и новых возможностях для улучшения, основываясь на информации, представленной в предыдущей [презентации], - говорит он. - Объясните им, вот где мы находимся, вот где мы незрелые и где риски, и, исходя из профиля угроз, это то, чему мы должны уделять приоритетное внимание и почему ... и в чем мы противостоим конкурентам».

3. Будьте прозрачны

По мнению экспертов, оценки не должны скрывать риски для предприятия, поэтому руководители отделов по информационным технологиям должны быть прямолинейными и предоставлять актуальную информацию в простой и доступной форме.

«Во многих организациях есть отделы анализа угроз, и они собирают эту информацию для совета директоров, чтобы члены совета чувствовали себя в курсе событий, - говорит Чинн. - Члены совета директоров хотят знать корпоративный риск, влияние этого риска на бизнес, в какой степени их инвестиции превратились в средства контроля и привело ли это к значительному снижению риска».

Он приводит в качестве убедительного примера того, как предлагать такую ​​информацию, одну организацию, в которой директор по информационной безопасности (CISO) внедрил приложение самообслуживания, которое члены совета директоров могут использовать для доступа к этой информации по запросу.

4. Предвидьте сложные вопросы

В зале заседаний нет места для сюрпризов. Поэтому Роб Клайд, председатель совета директоров ассоциации ISACA по управлению ИТ, советует директорам по информационным технологиям предвидеть вопросы, которые они получат от членов совета, особенно те, на которые сложнее всего ответить, например, «Насколько хороша наша безопасность?» и «Мы в безопасности?»

По словам Клайда, директора по информационным технологиям часто не могут должным образом ответить на такие вопросы и, как следствие, дают неадекватные или запутанные ответы на лету.

Он советует директорам по информационным технологиям думать заранее и разрабатывать ответные меры. Он также рекомендует директорам по информационным технологиям использовать структуру зрелости кибербезопасности, например, предложенную институтом CMMI ISACA, чтобы дать четкий и содержательный ответ на эти сложные вопросы.

Точно так же он говорит, что директора по информационным технологиям не должны удивлять совет директоров, других руководителей и генерального директора своими ответами на такие вопросы. Клайд говорит, что директора по информационным технологиям должны поделиться своими ответами на ожидаемые вопросы со своими генеральными директорами; Фактически, директора по информационным технологиям должны быть уверены, что их генеральные директора проинформированы о любой информации, которую они представляют, чтобы они не поставили своих генеральных директоров в неловкие ситуации.

5. Будьте честны в отношении ограничений

В связи с этим опытные руководители говорят, что директора по информационной безопасности должны реалистично отвечать на вопросы об организационном риске и состоянии кибербезопасности - даже если они опасаются, что их ответы могут сделать их неэффективными. «Некоторые советы директоров спросят: защищены ли мы на 100 процентов? - никогда не следует отвечать утвердительно или давать неточные заверения», - говорит Клайд.

6. Не пугайте совет

Директора по информационной безопасности видят растущий объем и усовершенствование кибератак, поэтому неудивительно, что они стремятся поделиться такой информацией со своими советами директоров, объясняя, какие ресурсы им необходимы для противодействия всем этим угрозам.

«У вас есть несколько руководителей по информационной безопасности, которые делают списки всех плохих вещей, которые происходят, и создают впечатление, будто небо падает, - говорит Хейслип, - но эта [атмосфера] страха, неуверенности и сомнений на самом деле не работает для совета директоров, и директор по информационной безопасности может однажды уйти от ответственности, но все, что он собирается сделать, это поставить галочку на доске, если он сделает это снова».

Совет директоров определенно хочет данных, говорит он, но они хотят получить эту информацию таким образом, чтобы впоследствии принимать обоснованные решения о том, куда лучше всего направить свои инвестиции в безопасность, чтобы снизить наибольшие риски.

7. Получите чемпиона

Джеймс Кардер, директор по информационной безопасности компании LogRhythm, занимающейся защитными решениями, наладил отношения с членом совета директоров, у которого был технический опыт, и искал его в качестве наставника, который мог бы помочь ему подготовиться к собраниям совета директоров, просмотреть материалы, представляемые совету директоров, и выступить в защиту безопасности. стратегии от его имени.

Он советует поступить так же и другим директорам по информационной безопасности.

«Заручитесь поддержкой среди управляющих. Это даст вам обратную связь, прежде чем вы представите ее правлению, сможете получить совет, какие слова важны и что найдет отклик у остальных участников. Поддерживающий вас член совета директоров может обсуждать вопросы безопасности с управляющими, когда вас нет рядом, и вносить необходимые изменения», - говорит Кардер.

8. Ближе к делу

Директора по информационным технологиям привыкли к презентациям на конференциях, где происходит переход к главному, но такой подход не работает для советов директоров, которые уделяют большое внимание времени.

«Не сдерживайся. Переходите к делу с самого начала. Правление хочет знать заранее, почему вы здесь, - говорит Клайд. - И если есть что-то, в чем правление должно принять меры - например, им нужно подумать о покупке страховки кибербезопасности или выяснить, следует ли платить выкуп в случае атаки программы-вымогателя, - определите это и определите это сразу».

Он говорит, что директора по информационной безопасности могут предоставить дополнительную информацию, если позволяет время, понимая, что члены совета директоров могут получить доступ к любой необходимой информации в письменных материалах, представленных до собрания.

9. Пропустите технические разговоры

Кардер говорит, что однажды он передал правлению слишком много информации о своей работе по обеспечению безопасности. Он знал, что допустил эту ошибку, когда членам правления неоднократно приходилось останавливать его презентацию, чтобы спросить, какие термины он использовал и какие концепции описывал.

«Я предположил, что они знают определенную терминологию в сфере технологий безопасности, - говорит он, - а затем я понял, что перебарщивал со всеми этими деталями, вместо того, чтобы быть кратким и сообщать о рисках».

Кардер теперь более сознательно старается исключить из своей презентации техническую информацию; нет никаких подробностей о последних эксплойтах или новейших технологиях предотвращения потери данных, а также о выбранных поставщиках SIEM или продуктах для обнаружения вторжений. Вместо этого он сосредотачивает разговор на высокоуровневых вопросах безопасности и представляет информацию в простых деловых терминах.

10. Представьте ценность бизнеса

Многие директора по информационной безопасности не могут рассчитать рентабельность своих инвестиций в безопасность для бизнеса, но совет директоров хочет знать, какое влияние на бизнес оказывают их риски и инвестиции.

Это то, к чему стремится Хейслип. «Я показываю, как мои программы влияют на команды, которые зарабатывают деньги; это показывает, как мы помогаем им делать то, что они делают, - говорит он.

Однажды он работал в компании, у которой ежемесячно отключалось около 50 компьютеров из-за вредоносных программ, поэтому он вложил средства в технологии, позволяющие снизить этот среднемесячный показатель. Когда он предстал перед советом директоров, Хейслип сосредоточился не на стоимости новых технологий, а скорее на ценности, которую инвестиции принесли организации за счет снижения затрат на исправление и сокращения времени простоя.

«Это такая ценная история, о которой вы должны говорить, плюс тот факт, что вы снижаете риск», - говорит он.

11. Определите критерии успеха

По словам Чинна, директорам по информационным технологиям следует подумать о том, адекватно ли они передают информацию своим советам директоров, зная, что от того, насколько хорошо они сообщают о влиянии своих стратегий безопасности на бизнес, зависит, сколько поддержки и финансирования они получат.

Чинн знает одного директора по информационной безопасности, который оценил свой успех в этой области по тому, как члены его совета директоров реагируют на сообщения о нарушениях корпоративных данных.

«Он говорит, что знает, что хорошо справляется с работой, информируя правление, когда члены правления задают разумные вопросы или вообще не задают вопросов после новостей о нарушении, потому что это показывает, что они доверяют ему как директору по информационной безопасности», - говорит Чинн.

12. Воспользуйтесь возможностью

Клайд говорит, что директора по информационной безопасности должны присутствовать перед всем советом директоров, отмечая, что многие руководители по информационной безопасности представляют интересы не перед советом директоров в полном составе, а в комитетах по аудиту и рискам. И они должны проявить инициативу, чтобы включиться в повестку дня своих советов, если они еще этого не сделали.

Более того, директора по информационным технологиям должны рассматривать свое время перед советами директоров как возможность проповедовать важность сильной программы кибербезопасности, а также знакомить с сильными сторонами, пробелами и стратегиями функции кибербезопасности организации. По словам Клайда, ISACA рекомендует, чтобы директора по информационной безопасности встречались с членами совета директоров не реже одного раза в год.

«Речь идет об укреплении доверия, - говорит Хейслип. - Совет директоров видит, что вы делаете что-то, и они знают не только о том, что вы знаете свою работу, но и о том, что вы разбираетесь в бизнесе, и вы корректируете свою программу безопасности для поддержки этого».