Руководители австралийских компаний изо всех сил пытаются осознать реальность киберрисков

Страх и более технические аспекты кибербезопасности по-прежнему мешают австралийским руководителям более глубоко заниматься рисками кибербезопасности, несмотря на серию громких кибератак, которые поразили австралийские бренды, включая Optus и Medibank, а также миллионы их клиентов.

Новое исследование консалтинговой фирмы Accenture показало, что только каждый пятый (19%) австралийский генеральный директор в настоящее время посвящает заседания совета директоров обсуждению вопросов кибербезопасности, а 34% считают, что кибербезопасность не является стратегическим вопросом и требует эпизодического, а не постоянного внимания.

Результаты показывают, что, несмотря на рост затрат на утечку данных в Австралии и быстро меняющуюся картину угроз, включая потенциальную эскалацию атак социальной инженерии из-за генеративного искусственного интеллекта, местные руководители не используют подход «всегда включен» для оценки и смягчения последствий. киберриск.

ИТ-лидеры могут сыграть роль в повышении вовлеченности в киберриски, разговаривая на языке, понятном генеральным директорам, взаимодействуя с советами директоров, обеспокоенными своей собственной ответственностью, и четко определяя, какие передовые методы и уровни инвестиций им следует ориентировать в своих организациях.

Руководители компаний по-прежнему не берут на себя ответственность за риски кибербезопасности

Результаты австралийского исследования Accenture, сделанные на основе опроса 1000 руководителей крупных компаний по всему миру для отчета The Cyber-Resilient CEO, показали, что 91% руководителей по-прежнему считают, что кибербезопасность — это техническая функция, за которую отвечает директор по информационной безопасности или директор по информационным технологиям, а не их собственная. .

Лишь треть (28%) австралийских руководителей твердо согласились, что обладают глубокими знаниями о меняющемся ландшафте киберугроз, с которым они сталкиваются. В то же время 93% не были уверены в способности своей организации предотвратить или смягчить будущие кибератаки.

SEE: Является ли быстрое восстановление данных лучшей надеждой Австралии на борьбу с программами-вымогателями?

Директор по безопасности Accenture в Австралии и Новой Зеландии Жаки Керно рассказал TechRepublic, что, несмотря на риски и затраты, связанные с тем, чтобы стать жертвой кибератаки, кибербезопасности по-прежнему не уделяется того уровня внимания, который должен быть на уровне генерального директора.

«Очень пугает то, что даже после всего шума в прессе и действительно видимых нарушений мы до сих пор не добились поддержки и поддержки со стороны наших генеральных директоров», — сказал Кернот. «Я считаю, что нам действительно нужно подумать о том, почему ситуация не изменилась так сильно и как расширить возможности наших руководителей».

ИТ-безопасность по-прежнему остается «черным искусством» для руководителей

По словам Кернота, функция ИТ-безопасности стала «черным искусством», полным тайн и страха для посторонних, в том числе нетехнических руководителей. Руководители, не занимающиеся киберрисками, подобны людям, которые относят свой компьютер к техническому эксперту, чтобы тот починил его, вместо того, чтобы чинить его самостоятельно.

По словам Кернота, техническая природа безопасности и язык экспертов по безопасности могут слишком усложнить повышение осведомленности о кибербезопасности. Тем не менее, новое поколение цифровых аборигенов, которые разбираются в технологиях, помогают создавать культурные изменения и могут помочь привлечь руководителей.

Руководители не поддаются опасениям по поводу безопасности

Недавние громкие нарушения, а также ужесточение регулирования и штрафов повергли большинство руководителей в «легкую форму паники», сказал Кернот. Она сказала, что ни один генеральный директор не хотел бы появляться на телевидении, рассказывая об утечке данных, и было признано, как такое событие может повлиять на цены акций.

SEE: Что могут сделать ИТ-руководители в связи с растущими расходами на утечку данных в Австралии?

Дискомфорт заставил некоторых руководителей расширить свои знания в области кибербезопасности. Однако Кернот сказал, что, как показали результаты опроса, многие были «… очень напуганы и откинулись назад, потому что они не понимают этого».

ИТ-руководители могут повысить осведомленность генеральных директоров и советов директоров о безопасности

В будущем генеральным директорам придется взять на себя большую ответственность за риски кибербезопасности. Но ИТ-директорам и директорам по информационной безопасности, возможно, придется поработать, чтобы это произошло. Им нужно будет требовать большей аудитории с генеральным директором для продвижения передовых практик в области кибербезопасности в своих организациях.

Кернот сказал, что существует ряд вещей, которые могут способствовать повышению осведомленности о безопасности наверху. Это может включать в себя предоставление директорам по информационной безопасности прямой связи с генеральным директором и советом директоров, а не через директора по информационным технологиям, чтобы гарантировать, что отчетам о кибербезопасности уделялось то внимание, которого они сейчас заслуживают.

Понимать и устранять пробелы в кибербезопасности

Кернот рекомендует ИТ-руководителям обратить внимание на лучшие практические подходы, такие как оценки зрелости NIST или Австралийскую систему упражнений на основе аналитики кибероперационной устойчивости для финансовых учреждений, чтобы определить, в чем заключается разрыв в их собственной организации.

Это позволит ИТ-директорам и директорам по информационной безопасности понять, какую поддержку им нужно получить от своего генерального директора. Если тогда генеральный директор решит не финансировать это, по крайней мере, будет ясно, что ИТ-руководители знали о существовании проблемы и пытались ее смягчить, а не обвинять в ней, сказал Кернот.

«Если вам не ясно, что вам нужно, ваш бюджет и каковы риски, если вы этого не получите, то вы рискуете стать частью проблемы», — сказал Кернот. «Вы должны проявлять инициативу в своих рекомендациях относительно того, что должно произойти. Вы должны четко понимать, что необходимо для выполнения работы».

Говорите на языке руководителей, а не на жаргоне безопасности.

Специалистам по безопасности следует свести к минимуму использование жаргона (например, разговоров об «управлении поверхностью атаки») и общаться на терминах, понятных генеральным директорам и советам директоров. Это будет включать такие термины, как управление рисками, сокращение затрат, оптимизация и повышение прозрачности в случае кризиса.

SEE: Больших расходов на безопасность может быть недостаточно для австралийских и новозеландских предприятий.

Кернот сказал, что этот сдвиг заключается в понимании сложности и помощи генеральным директорам управлять ею, не усложняя ее слишком сильно.

«На самом деле речь идет о том, что думает генеральный директор, чем он должен управлять и как вы вписываете свою работу в то, чем он управляет», — сказал Кернот.

По мнению Кернота, ИТ-директора, стремящиеся лучше общаться с генеральными директорами, должны свести свое послание к таким заявлениям, как:

«Риск такого типа кибератак заключается в следующем». Это «стоит столько же в плане исправления ситуации и воздействия на бренд». «Такие траты снизят риск до 10% от того, что было».

Обращение к советам директоров, а также генеральным директорам

По словам Кернота, директора по информационной безопасности найдут заинтересованных союзников в советах директоров, которые сейчас «абсолютно обеспокоены» кибербезопасностью. Австралийская комиссия по ценным бумагам и инвестициям недавно предупредила, что будет преследовать советы директоров; такие правила, как CPS 234 для организаций, регулируемых APRA, возлагают ответственность за информационную безопасность на советы директоров.

«Я не встречал члена совета директоров, который бы не беспокоился об этом и о своей личной ответственности, и они делают свою домашнюю работу», — сказал Кернот. «Как ИТ-специалист, у вас есть возможность направлять и направлять их мышление и направлять бизнес туда, где он должен быть».

Кернот сказал, что ИТ-руководители, которые не проводили время перед советом директоров и генеральным директором в этой среде, упускают возможности.

«Они все волнуются, и вы либо помогаете им чувствовать себя более комфортно, либо позволяете им волноваться из-за этого в ваше отсутствие», — сказал Кернот.

Запускайте киберсимуляции, чтобы повысить уровень взаимодействия с рисками

Моделирование кибербезопасности — один из наиболее эффективных и экономически выгодных способов повышения вовлеченности совета директоров и руководителей в кибербезопасность. Кернот сказал, что организации, которые это делают, вероятно, смогут лучше финансировать увеличение кибербюджетов, поскольку они «действительно заинтересовывают» людей.

«Моделирование кибербезопасности неудобно. Они выводят вас из зоны комфорта», — сказал Кернот. «Что вы хотите сделать, так это убедиться, что совет директоров уйдет с чувством дискомфорта и беспокойства, думая о том, как управлять этим риском в будущем».