Исследование показало, что 21% руководителей служб информационной безопасности подвергались давлению, чтобы не сообщать о проблемах с соблюдением требований

Согласно новому исследованию, более пятой части руководителей служб информационной безопасности оказывалось давление с целью не сообщать о проблемах с соблюдением требований. Поскольку они берут на себя большую ответственность в совете директоров, они также сталкиваются с растущей ответственностью за инциденты с безопасностью, что делает их более уязвимыми для давления руководства при возникновении рисков, связанных с соблюдением требований.

Отчет, опубликованный платформой управления данными Splunk, также показал, что 59% руководителей служб информационной безопасности были бы готовы стать информаторами, если бы их компания игнорировала требования соответствия. Однако тот факт, что некоторые чувствуют себя обязанными принимать такие радикальные меры, подчеркивает более глубокую проблему — нарушение коммуникации между руководителями служб информационной безопасности и корпоративными советами директоров.

Разрыв часто коренится в недостаточной осведомленности руководителей относительно сложности и времени, необходимого для поддержания соответствия. Члены совета директоров могут недооценивать рабочую нагрузку команды безопасности и, сталкиваясь с задержками или трудностями, могут поощрять руководителей служб информационной безопасности преуменьшать или скрывать проблемы вместо того, чтобы сообщать о них.

«Хотя советы директоров знают, что соблюдение требований важно, многие из них могут не в полной мере осознавать или понимать, какую работу необходимо провести для его достижения», — заявила Кирсти Пейн, технический директор и стратегический консультант Splunk, в отчете CISO.

«При отсутствии ежедневного понимания неудивительно, что члены совета директоров думают, что это должно быть «легко», или приходят в замешательство, когда директора по информационной безопасности и их команды тратят слишком много времени на достижение и поддержание строгой позиции по обеспечению соответствия».

Исследование Splunk опросило 500 руководителей служб безопасности, включая директоров по информационной безопасности, и 100 членов советов директоров в 16 отраслях по всему миру, чтобы изучить, как взаимодействуют лица, принимающие решения в области кибербезопасности, и исполнительные команды. Результаты показывают растущее присутствие директоров по информационной безопасности в корпоративном руководстве, но также и постоянные проблемы в согласовании безопасности с бизнес-приоритетами.

Руководители служб информационной безопасности привлекаются к работе в советах директоров, поскольку киберугрозы становятся все более серьезным риском, но сталкиваются с растущими трудностями

Поскольку киберугрозы продолжают расти, директорам по информационной безопасности (CISO) предоставляется все больше ответственности. В отчете говорится, что 82% теперь подчиняются непосредственно генеральному директору (по сравнению с 47% в 2023 году), а 83% регулярно посещают заседания совета директоров. Однако это возросшее присутствие не привело к лучшей координации между командами по безопасности и руководителями.

Исследование показало, что 94% руководителей служб информационной безопасности подвергались разрушительным кибератакам, 55% сообщали о множественных инцидентах, а 27% сталкивались с повторными нарушениями. Несмотря на эти угрозы, руководители служб информационной безопасности и члены совета директоров по-прежнему расходятся во мнениях относительно ключевых приоритетов, бюджетирования и стратегической направленности.

SEE: Согласно отчету, количество кибератак в мире удвоится с 2020 по 2024 год

Несмотря на то, что директорам по информационной безопасности поручено принимать стратегические решения, в отчете Splunk отмечены некоторые явные области несогласованности между ними и остальной частью совета директоров.

Например, 52% советов директоров считают, что руководители служб информационной безопасности тратят большую часть своего времени на согласование своих усилий по обеспечению безопасности с целями бизнеса, но только 34% руководителей служб информационной безопасности заявили, что это действительно так. На самом деле, по словам 57% руководителей служб информационной безопасности, основная часть их работы заключается в выборе, установке и эксплуатации технологий.

У директоров по информационной безопасности также другие приоритеты, чем у остальных членов совета директоров. Более половины, или 52%, отдают приоритет инновациям с новыми технологиями, в то время как только 33% советов директоров согласны с этим. Аналогичный процент, 51%, также оценил повышение квалификации и переподготовку сотрудников служб безопасности как важные, но только 27% советов директоров разделяют эту точку зрения.

Что касается соответствия, то только 15% руководителей служб информационной безопасности оценили его как высшую метрику производительности, вероятно, потому, что многие рассматривают его как упражнение с флажками, которое приводит только к базовым уровням безопасности. Однако 45% советов директоров считают его важной метрикой.

Руководители служб информационной безопасности считают, что они хорошо умеют общаться, но факты говорят об обратном

Отчет Splunk показывает, что директора по информационной безопасности считают, что они хорошо общаются с остальными членами совета директоров, что приводит к их согласованности по ключевым вопросам. Однако они могут переоценивать свои отношения. В общей сложности 61% директоров по информационной безопасности считают, что они согласованы по стратегическим целям безопасности, по сравнению с 43% членов совета директоров. Когда дело доходит до сообщения о ходе выполнения контрольных показателей безопасности, 44% директоров по информационной безопасности высоко оценивают свои способности, но только 29% членов совета директоров согласны с этим.

Такие недопонимания имеют реальные последствия для бизнес-операций. Например, только 29% руководителей служб информационной безопасности сообщают о наличии надлежащего бюджета для инициатив и целей в области кибербезопасности по сравнению с 41% членов совета директоров. Эти недостаточные инвестиции делают организации уязвимыми для кибератак. В общей сложности 62% руководителей служб информационной безопасности, отложивших обновление технологий для сокращения расходов, заявили, что это привело к успешному взлому или атаке.

Директорам по информационной безопасности необходимо улучшить взаимодействие с советами директоров, сосредоточившись на цифрах

Чтобы предотвратить кибератаки и несоответствие нормативным требованиям, руководители служб безопасности должны усовершенствовать свой подход к взаимодействию с членами совета директоров.

«Многие советы директоров заявляют, что они отдают приоритет росту бизнеса (44%), а не укреплению программы кибербезопасности (24%), что означает, что они склонны поддерживать инициативы в области кибербезопасности, которые приносят наибольшую ценность акционерам и организации», — пишут авторы отчета.

Действительно, 64% советов директоров говорят, что представление безопасности как бизнес-средства является наиболее эффективным способом увеличения бюджетов, но только 43% руководителей служб информационной безопасности подходят к этой теме таким образом. Чуть меньше половины, или 46% советов директоров говорят, что представление расходов, таких как простои и потенциальные штрафы, является наиболее убедительным аргументом в обсуждениях бюджета.

СМОТРЕТЬ: Простои обходятся крупнейшим компаниям мира в 400 миллиардов долларов в год

Ответственность лежит не только на CISO. Члены совета директоров должны консультироваться с CISO как с основным заинтересованным лицом при принятии решений, которые влияют на корпоративные риски и управление, заявили авторы отчета.

«Несмотря на пробелы, они разделяют обязанность защищать компанию. Советы директоров защищают прибыльность и стоимость акций; директора по информационной безопасности защищают данные и системы. Это то, на чем можно строить. Но для того, чтобы объединиться, потребуются общение, понимание и щедрая доза терпения», — написали они.