Мениджмънт

5 грешки в риск мениджмънта, забравяни от директорите по информационна сигурност

CIO Media

Мери К. Прат, CSO

Киберсигурността вече е проблем на ниво корпоративно управление, но много организации все още се затрудняват да постигнат правилно управление на риска за сигурността. Проучвания на директори и други служители на управляващи постове обаче показват, че те все още не се справят добре с тази задача. Корпоративните лидери дават приоритет на киберсигурността, разглеждайки я като стратегически риск, който трябва да управляват.

Глобалното проучване на разбирането на киберриска за 2019 г. от Marsh и Microsoft установява, че 79% от участниците поставят киберсигурността сред петте най-важни въпроса за тяхната организация, а 22 на сто казват, че това е тяхната най-голяма грижа. Само 11% отчитат висока степен на увереност в киберустойчивостта на своите организации.

Същевременно 66 на сто от участниците в проучването за управление на публични компании за 2019-2020 г. на Националната асоциация на корпоративните директори казват, че техните компании са разглеждали киберриска поне веднъж на своите събрания на борда през миналата година. Въпреки това 61% от участниците потвърждават, че организациите им ще дадат приоритет на бизнес дейностите и инициативите пред киберсигурността.

Ръководителите по сигурност споделят, че не са изненадани от такива изводи, тъй като управлението на риска за сигурността все още съзрява и много директори се затрудняват да го менажират ефективно. Имайки предвид това, те казват, че много организации правят грешки в тази област. Тук са описани пет често срещани грешки, които корпоративните ръководители правят:

1. Липса на координация между сигурност и бизнес
Липсата на координация между дейности за гарантиране на сигурност и бизнес стратегии остава една от най-често срещаните грешки в управлението на риска според много директори по информационна сигурност и изпълнителни консултанти.

"Повечето CISO не измерват това, за което бизнесът в действителност е загрижен. Те следят техническите експозиции, а не въздействията върху бизнеса. Все още са твърде увлечени в инструментите и измерването на уязвимости, но това не са мерки за киберриска за бизнеса. Директорите по информационна сигурност трябва да привържат риска към нещата, от които бизнесът се интересува", казва Райън Ласал, управляващ директор и ръководител за Северна Америка в Accenture Security.

Ласал споделя, че отделите по сигурност и бизнесът като цяло не успяват да синхронизират своите дефиниции на риск и да установят това, което смятат за приемливи нива на риска. По-нататъшно изостряне на липсата на синхрон между отделите по сигурност и бизнеса затруднява ефективното управление на риска (ако не е невъзможно).

"В много случаи бизнесът и отделите по сигурност гледат по различен начин на риска и неговото въздействие", коментира той, отбелязвайки, че отговарящите за сигурността понякога не успяват да обяснят на бизнеса разликата между наследен риск и остатъчен риск, след като са изпълнени методите за контрол и намаляване.

Райън казва, че съветва директорите по информационна сигурност да разясняват рисковете, свързани с конкретни бизнес цели, как ще намалят опасността, до каква степен може да се намали и на каква цена, така че и бизнесът, и хората по сигурността да разбират по еднакъв начин риска, който организацията поема. "С други думи, директорите по информационна сигурност трябва да обяснят защо този риск е важен за бизнеса", добавя той.

2. Ограничена видимост
Много директори управляват риска за части, а не за цялата организация, тъй като нямат пълна видимост в предприятието си. "Съществува често срещано погрешно схващане, че една организация има цялата картина на това какъв е пейзажът", казва Тони Бъфоманте, глобален коръководител за услугите за киберсигурност на KPMG. Той обаче е установил, че много директори по информационна сигурност нямат пълен набор от ИТ активи или списък на всички външни доставчици и приложения в облака. "В резултат на това много компании изпълняват програми за оценка на риска на инвентар, който не е цялостен и не е точен", казва той.

Други се съгласяват, че директорите по информационна сигурност често нямат цялостен поглед върху цялата корпоративна среда. Причините за това са различни. Понякога придобити компании не са напълно интегрирани в основната компания. Понякога подразделенията изпълняват свои собствени технологични дейности и издигат стени около тези силози. Независимо от причината такива сценарии лишават директорите по информационна сигурност от способността за пълна оценка на риска за организацията като цяло.

В същото време много дейности за сигурност имат ограничена видимост в собствените си усилия, тъй като не използват метрики, които могат да им помогнат да оценят количествено риска и как той се променя с времето, казва Майк Спрунджър, старши мениджър на практика за консултации по въпросите на сигурността в Insight. Той казва, че малки до средни организации често не следят метриките за риска, тъй като нямат парите и експертизата да приложат такива практики, докато големи компании понякога не го правят, тъй като са затруднени от сложността на такова начинание.

Съветници признават, че постигането на пълна видимост както в технологичната среда, така и в дейностите по сигурността изисква подготвителна работа. Директорите по информационна сигурност трябва да разбият дългогодишните силози на ИТ дейността, като се облегнат на своите изпълнителски умения, и трябва да дадат приоритет на изисквания за наблюдение и контрол, за да създадат програма за метрики, която да може да предостави количествени прогнози.

"Отговорникът за сигурността трябва да иска рисковете да се оценят количествено при трудни условия, по начини, които могат да се измерят и повторят и да са смислени, тъй като рискът е всичко, което може да се случи и какво вероятно ще се случи. Твърде много мениджъри по сигурността оглеждат всички възможни неща, но това няма да ви доведе доникъде. Трябва да гледате това, което вероятно ще се случи в организацията ви, за да управлявате риска по най-добрия начин", допълва Спрунджър.

3. Поставяне на рамки на първо място
Предизвикателствата и сложността на функцията за корпоративна киберсигурност доведоха до възход на редица рамки, но въпреки това Кристофър Кенеди, CISO и вицепрезидент за клиентски успех в AttackIQ, вижда риск в твърде голямото фокусиране върху използването на регулаторни рамки и рамки за съвместимост за управление на риска.

Той казва, че някои ръководители в областта на сигурността погрешно наблягат прекомерно върху изпълнението на рамковите изисквания, отмятане по списък и виждат съответствието с рамките като крайна цел, вместо да насочат ресурси към разбиране на уникалните нужди на собствената си организация, като координират инициативите за сигурност с бизнес стратегия и затворят празнините в своите програми за сигурност.

"Количеството работа, необходима за управлението на отмятането по списък, отвлича ресурси от проблемите, с които CISO започнаха", казва Кенеди. "Така че, ако CISO разполага с голяма част от моя персонал, който работи по тези рамки, аз няма да изградя дълбока и интегрална връзка с моя бизнес. Това означава, че аз може да бъда разглеждан като инхибитор на бизнеса, тъй като съм фокусиран върху тези рамкови изисквания вместо върху нуждите на бизнеса."

Кенеди не отрича напълно стойността на рамките, но казва, че организациите трябва да свържат рамковите изисквания със стратегия, която е информирана за конкретните и най-вероятни заплахи, пред които са изправени те и техните отрасли, както и степента на допустимост на риска, която са установили.

4. Уеднаквяването на тежестта на всяка заплаха или проблем
Като се има предвид растящият списък на заплахи, вектори на атака и уязвимости, пред които са изправени абсолютно всички организации, директорите по информационна сигурност може да бъдат изкушени да се опитат да се справят с всичките. Но директори по информационна сигурност и консултанти в тази област казват, че такъв обхватен подход е грешка. Вместо това те трябва да бъдат по-фокусирани.

"Много хора не започват с ясна идея къде са уязвими и от кого са уязвими; те се опитват да затоплят океана", казва Филип Мартин, CISO на Coinbase.

Мартин казва, че твърде обхватният подход размива усилията и увеличава разходите без съизмеримо покачване на състоянието на сигурността и способностите за управление.

За най-добро управление на риска той и неговите ръководители по сигурност казват, че организациите трябва да бъдат по-целенасочени.

"Ние трябва да мислим за вероятност и въздействие. Твърде често ние гледаме най-новата, най-бляскава атака. Но ако погледнете своя риск, кой идва след вас и какво използва, тогава можете да създадете целенасочена програма за намаляване на риска и да се фокусирате върху атаките, които най-вероятно ще ви създадат проблем. Всички ние имаме ограничени екипи, ограничен бюджет и ограничен персонал. Ние трябва да се фокусираме върху това какво най-вероятно може да докара проблем на нас и нашите компании", казва Мартин.

За пример той дава завод за производство на части за автомобили в Средния запад, който трябва да даде приоритет на защитата на интелектуалната си собственост и инфраструктура срещу чуждестранни консултанти, прицелени в американски компании, но да избута атаки, измислени да откраднат кеш (като онези, които обикновено се насочват към финансови институции), по-надолу в списъка с приоритети.

5. Неуспех при обмислянето на времето
Въпреки че одитите на сигурността и съвместимостта могат да дадат на директорите от високо ниво индикация за това как се справя една програма за сигурност, експерти предупреждават, че показват ефективността само по време на одита. Тоест те не гарантират успех занапред - особено като се има предвид колко бързо могат да се развият нови заплахи и колко бързо политиките за сигурност и оценките на риска трябва да се променят, за да се справят с тях.

"Виждаме много организации да изпълняват процес на одит, но те не се възползват от получената информация за заплахи в реално време, която да им помогне да изяснят кои рискове се отнасят за тяхната организация в този момент, казва Бъфоманте. Те трябва да имат по-постоянно оценяване на това къде са техните области с най-висок приоритет."

Бъфоманте е на мнение, че организациите все повече обръщат внимание на тази нужда чрез прилагане на автоматизация, машинно обучение и изкуствен интелект, генерирайки оценки на сигурността в реално време. След това организациите трябва да създадат процеси, които да им дадат възможност по-бързо да използват тези оценки в реално време, коригирайки и управлявайки риска.

Ръководителите по сигурност обаче са на мнение, че организациите трябва също така да признаят, че понякога инициативите за справяне с новите идентифицирани рискове може да отнемат време.

"В момента скоростта на анализ превишава скоростта на вземане на решение и предприемане на действие", казва Ласал. Екипите за сигурност трябва вградят това в своите отчети за планиране и напредък. Ако те помолят своите ИТ колеги и бизнес звената да се справят с нова заплаха като начин за постигане на приемливо ниво на риска, тогава специалистите по сигурност трябва да бъдат реалисти относно времето, за да което ще бъде свършена работата.

Няма да искате екипът по сигурността да обезкуражава бизнеса, когато прави каквото е нужно, взел правилния избор. Трябва да има по-добър ритъм за времето, което е необходимо за решаване на проблема, включен в отчетите, казва Ласал. Трябва или да осигурите незабавно инкрементално действие, вместо да правите голямата промяна, или да се уверите, че вашата насока може да съвпада с това, което бизнесът може да направи."

Превод и редакция Мариана Апостолова

X