Рассматривают вопросы ИБ только при возникновении инцидентов 30% компаний – исследование
Больше половины (60%) представителей советов директоров российских компаний подходят к решению вопросов кибербезопасности системно, при этом 30% компаний рассматривают вопросы ИБ ситуационно — только при возникновении инцидентов, свидетельствуют результаты исследования, проведённого группой компаний «Солар», Ассоциацией независимых директоров (АНД) и Национальным объединением корпоративных секретарей (НОКС), сообщает «Солар» в среду.
Также 60% респондентов отметили, что их компании находятся в процессе цифровой трансформации. При этом акцент на клиентский опыт и переход в цифровые каналы взаимодействия формируют дополнительные риски атак на пользователей, партнеров и IT-инфраструктуру. Так, только за первые девять месяцев 2024 года в России эксперты Solar AURA зафиксировали 569 инцидентов, связанных с утечкой данных, что на 35% больше, чем за весь 2023 год.
Актуальной для бизнеса становится и позиция российского общества, которое обеспокоено собственной цифровой защищённостью. По данным ряда исследований, 63% пользователей уверены, что их данные есть в сети и к ним можно получить доступ, 71% предпочитают знать, каким образом компании используют их персональные данные, при этом более 50% пользователей опасаются, что эти данные могут быть использованы против них.
В связи с этим кибербезопасность становится не только инструментом защиты данных и информационных систем. С учётом актуального масштаба киберугроз компании, способные обеспечить высокий уровень безопасности, получают значительное преимущество в глазах клиентов и повышают качество корпоративного управления, отмечается в сообщении.
Топ-менеджмент российских компаний выделяет четыре ключевых элемента успешной стратегии кибербезопасности: риск-сбалансированный подход (69%), киберкультура (56%), соответствие требованиям регуляторов, включая защиту от утечек (44%), и продвинутый мониторинг кибератак (38%).
Наиболее востребованными инструментами повышения эффективности кибербезопасности, по мнению респондентов, остаются проведение киберучений и стресс-тестирований (75%), развитие кадрового потенциала (50%) и включение «трендвотчинга» в процесс принятия решений по развитию ИБ (38%).
Наиболее популярным для топ-менеджеров способом получения информации об уровне кибербезопасности их компаний являются отчеты CISO, их практикуют 63% респондентов. Сопоставимой альтернативой является информация от независимого аудита (63%).
Дополнительными источниками отчетности для топ-менеджеров являются данные по итогам тестирования защищённости (38%), а также «второе мнение» от CIO (44%). Сочетание различных типов источников информации позволяет понять реальное состояние киберзащищённости компании и выявить области для её развития.
По итогам проекта эксперты «Солара» выделили семь областей корпоративного управления, тесно связанных с защитой конфиденциальной информации компании, её активов и репутации.
В число приоритетных вошли ответственность руководителей за управление компанией, в том числе уголовная и административная; комплаенс и соблюдение требований регуляторов рынка. Важную роль также играют стратегическое планирование инвестиций в комплексную кибербезопасность; защита репутации компании и обеспечение финансовой стабильности на фоне рисков кибератак для операционной деятельности или утечек конфиденциальной информации. Эксперты также выделяют управление киберрисками и киберкультуру, которая тесно связана с этикой и безопасным поведением в цифровом мире.
Значимым элементом системного развития кибербезопасности эксперты считают участие топ-менеджеров в стратегическом управлении ИБ. Хорошей практикой остаётся подход к развитию ИБ «сверху вниз», при котором на уровне руководства компании определены и оцифрованы стратегические риски, сформулированы цели и ожидания от кибербезопасности, выстроена схема регулярного взаимодействия руководства компании и ИБ-директора.
В исследовании приняли участие более 50 экспертов — члены советов директоров, генеральных директоров и вице-президентов, директоров по IT и ИБ транспортных, металлургических, электроэнергетических компаний, банковского сектора и e-commerce.