Бизнесмен, защищающий личную информацию на виртуальном интерфейсе

Руководителям высшего звена необходимо перестать принимать ненужные риски

#KingstonCognate представляет Билла Мью

Фотография Билл Мью

Билл Мью — авторитетный специалист, участник кампании за цифровую этику и предприниматель. Как авторитетный специалист, Билл фокусируется на достижении правильного баланса между «значимой защитой» (он признан одним из ключевых авторитетов по конфиденциальности данных) и «максимизацией экономической и социальной ценности». В этой сфере он также является одним из ключевых авторитетов во всех аспектах, начиная с кибербезопасности и цифровой трансформации до технологий GovTech и умных городов. Он также еженедельно выступает на телевидении и радио (BBC, RT и т.д.) в качестве эксперта по этим темам — больше эфирного времени, чем у любого другого специалиста по технологиям в Великобритании.

Как предприниматель, Билл является основателем и генеральным директором CrisisTeam.co.uk, где он работает с элитной командой экспертов в области реагирования на инциденты, кибернетическому праву, управлению репутацией и социальному влиянию, чтобы помочь клиентам минимизировать последствия кибератак.

Корпоративная культура принятия рисков может привести к разрушению реального мира

Руководители предприятия, работающие у большого видеопланшета

Глупо принимать какие-либо риски. Большая часть выданных ненадежным заемщикам банковских кредитов, которые привели к обвалу кредитной системы и, в конечном итоге, к мировому финансовому кризису, были предоставлены людям, которые совершенно очевидно никогда не могли позволить себе кредит. И все же этим занимались почти все банки.

А в последнее время никто не предвидел изоляцию и тот факт, что простые действия, такие как посещение школы, работы, встречи с друзьями или поход на пляж, могут когда-либо стать угрозой для вашей жизни и для окружающих. Но теперь, когда мы понимаем контекст, это очевидно.

И глобальный финансовый кризис 2008 года, и текущая пандемия стали чрезвычайно разрушительными событиями, последствий которых можно было бы избежать или, по крайней мере, смягчить их, если бы мы лучше оценили риски или раньше прислушались к мнению менеджеров по кредитным рискам и экспертов в области здравоохранения.

Юный бизнесмен показывает фразу: Управление риском

Есть ли в корпоративной культуре недооценка риска?

То, как мы учитываем риски, также часто бывает нелогичным и непредсказуемым. Мы стали свидетелями массового перехода к работе на дому, который открыл новый вектор атак для киберпреступников-оппортунистов. Можно было бы ожидать, что организации будут уделять особое внимание безопасности своих облачных приложений, но слишком часто предполагается, что безопасностью занимается поставщик облачных услуг, тогда как в действительности неправильно настроенные облачные экземпляры являются одним из наиболее распространенных источников утечки данных.

Хотя вы бы никогда не оставили свое облако или ноутбук без пароля или защиты, организации часто поручают закупку устройств Интернета вещей и простых предметов, таких как USB-накопители, своему отделу закупок. В результате они неизбежно приобретают самые дешевые из доступных устройств, вместо того чтобы заплатить немного больше за такие дополнительные услуги, как шифрование. Спросите себя, был ли USB-накопитель, который вы в последний раз использовали, зашифрованным и защищенным паролем? Если ответ «нет», вам срочно нужно провести аудит рисков кибербезопасности.

Неспособность учесть риски носит не только культурный характер — и фотограф, делающий селфи, и менеджер по закупкам, все мы не всегда правильно оцениваем риск. Однако это также является результатом того, как работают организации.

Кто отвечает за риски кибербезопасности?

Защита данных и кибербезопасность в виртуальном интерфейсе

Банкиры не смогли оценить кредитный риск, потому что их результаты оценивались исключительно с точки зрения выручки и прибыли. Во всех отделах почти во всех организациях выручка и прибыль являются показателями эффективности, по которым измеряется и вознаграждается их деятельность. Это меры рентабельности инвестиций (ROI). До тех пор, пока это будет оставаться способом стимулирования работы отдельных лиц и управления организациями, эффективная оценка рисков будет незначительной или отсутствовать.

Единственный руководитель высшего звена, ориентированный не на рентабельность инвестиций, а на рентабельность с учетом рисков (ROR), — это директор по информационной безопасности*. Исходя из склонности к риску и бюджета организации, директор по информационной безопасности делает все возможное для снижения рисков кибербезопасности и противодействия кибератакам. К сожалению, наличие точки зрения, расходящейся с точкой зрения остальной части управленческой команды, означает, что директор по информационной безопасности может обнаружить, что он не просто изолирован (то, что я называю "CISOlation"), а иногда может стать и козлом отпущения, даже когда неправильное обращение с данными является последствием действий, предпринятых директором по маркетингу** или директором по ИТ*** без учета предупреждений со стороны директора по информационной безопасности.

Это как если бы все высшее руководство смотрело телевизор, где присутствуют только два из трех основных цветов (доход и прибыль). Они могут примерно увидеть, что происходит в компании, но не получат полной картины. Когда появляются серьезные риски, часто совершенно неожиданно, они очевидны для директора по информационной безопасности, но не для остальных, и если предупреждения действительно игнорируются, это может привести к катастрофе.

Три ключевых пункта, которые всегда следует учитывать

Есть надежда, что в последнее время мы все намного лучше стали осознавать риски. Высшему руководству компаний необходимо изменить способы стимулирования и управления работой своих команд, и убедиться, что они учитывают все три ключевых аспекта: доход, прибыль И риск. Менеджеры по закупкам должны осознавать риски и понимать, как принимать решения о покупке как относительно недорогих устройств (накопители с шифрованием стоят не намного дороже), так и более крупных и сложных систем с учетом кибербезопасности.

В культуре осведомленности о рисках платить немного больше за защиту от рисков кибербезопасности при покупке всего, начиная с защищенных зашифрованных устройств и до сложных многооблачных систем, является разумным вложением, и директора по информационной безопасности знают, что они смогут поднять тревогу и их не проигнорируют.

Совещание коллег, обсуждающих финансовые планы

Для изменения ситуации необходимо изменить культуру

Как общество, мы никогда не были так взаимосвязаны и так зависимы от технологий, как сейчас, и поэтому настолько уязвимы, особенно с учетом того, что ландшафт угроз постоянно развивается и растет.

Руководству необходимо изменить стиль поведения управленческой команды и всех подчиненных, и этот вид культурного сдвига в сторону улучшенной оценки риска должен исходить с самого верха. Культура цифровой этики (включая конфиденциальность и безопасность данных) должна проникать на все уровни — сверху вниз. Организации, которые придерживаются такой культуры цифровой этики и осведомлены о рисках, не только с меньшей вероятностью столкнутся с утечками данных, но и смогут лучше реагировать на них.

Стимулы для этого есть повсюду

Список крупным планом, в котором отмечены все пункты

Если штрафов в рамках GDPR, нормативных санкций в виде потери права на обработку данных, судебных разбирательств и ущерба репутации из-за неправильных действий было недостаточно, то за правильное решение полагается реальная награда. Потребители и инвесторы отказываются от брендов, которые запятнаны кибератаками и нарушением конфиденциальности. Однако они также готовы платить надбавку за надежные бренды, которые ассоциируются с цифровой этикой.

Клиенты во всех секторах, не только в технологических, становятся все более разборчивыми и требовательными. Исследование того, чего они ожидают от компаний, а не от правительств, показало, что безопасность и конфиденциальность данных превзошли даже разнообразие и устойчивость. Действительно, безопасность и конфиденциальность теперь являются главным, чего потребители ожидают от компаний, и они будут неумолимыми, если вы ошибетесь. Так что правильные действия действительно окупаются!

#KingstonIsWithYou

Зверніться до експерта

Кінгстон може запропонувати вам незалежну думку про те, чи підходить конфігурація, яку ви зараз використовуєте або плануєте використовувати, для вашої організації.

SSD-накопичувачі із самошифруванням

Ми пропонуємо поради щодо переваг твердотільних накопичувачів у вашому конкретному середовищі зберігання даних, а також щодо того, який твердотільний накопичувач найкраще підійде для ваших мобільних співробітників, щоб забезпечити безпечну роботу в дорозі.

Запитайте експерта з SSD

Шифровані USB-накопичувачі

Ми пропонуємо поради щодо переваг використання шифрованих USB-накопичувачів у вашій організації, а також щодо того, який накопичувач найкраще відповідає потребам вашого бізнесу.

Запитайте USB-експерта

Пов’язані публікації