Страховщикам присуще несколько основных характеристик, которые сответствуют самому высокому уровню кибербезопасности.
Деньги - это еще не все, когда речь идет о поддержке кибербезопасности в страховых компаниях или других финансовых учреждениях. Действительно, самые продвинутые риск-менеджеры в отрасли не обязательно те, кто тратит больше всего. Вместо этого планирование, выполнение процедур и управление кибербезопасностью, скорее всего, будут ключевыми отличиями в плане зрелости.
Это было одним из основных выводов недавнего анализа Deloitte, второго ежегодного опроса руководителей служб информационной безопасности (CISO) в страховых компаниях, банках, компаниях по управлению активами и других участников отрасли, проведенного Центром обмена информацией и анализа финансовых услуг (FS -ISAC), который работает совместно с Deloitte Cyber Risk Services.
Опрос выявил широкий спектр расходов на кибербезопасность среди респондентов в результате сравнения компаний по размеру (на основе доходов), отраслевой принадлежности или уровня зрелости управления рисками. Но что еще более важно, исследователи смогли выявить несколько основных характеристик тех компаний, которые достигли наивысшего уровня зрелости, определенного Национальным институтом стандартов и технологий (NIST).
Само собой разумеется, что страховщики, способные интегрировать фундаментальные элементы и следовать примеру, установленному ведущими программами кибербезопасности, с большей вероятностью станут эффективными менеджерами по управлению рисками и останутся лидерами бизнеса перед лицом постоянно меняющегося ландшафта угроз.
Определяющие характеристики для бизнеса включают:
Обеспечение участия высшего руководства в вопросах кибербезопасности, особенно членов совета директоров.
Исследование показало, что советы директоров и комитеты по управлению, по мнению респондентов, в наиболее зрелых компаниях были гораздо более заинтересованы почти во всех областях кибербезопасности, чем в менее зрелых организациях. Это может существенно изменить возможности кибербезопасности страховой компании. Лучшее информирование руководителем отдела ИТ-безопасности (CISO) членов совета директоров и других ТОП-менеджеров о текущих угрозах и рисках безопасности, а также об их последствиях для бизнеса может стимулировать более активное участие, помогая при этом получить адекватные ресурсы для кибербезопасности.
Повышение авторитета кибербезопасности в организации за пределами отдела информационных технологий (ИТ), чтобы уделить функциям управления рисками более высокий уровень внимания и большее влияние.
Киберугрозы все чаще признаются в качестве одного из наиболее важных факторов риска для бизнеса, с которыми сталкиваются страховщики, что выходит далеко за рамки технологических проблем, с которые также имеют место в страховом бизнесе. Поэтому более зрелые компании осознали необходимость повышения авторитета отдела кибербезопасности и позволили принимать решения, которые имеют высший приоритет и не зависят от других соображений или ограничений ИТ.
Например, наиболее зрелые респонденты с большей вероятностью повысили «вес» функции кибербезопасности, полностью отделяя кибербезопасность от ИТ, тогда как те, кто находится на уровне пониже, по-видимому, движутся в этом направлении, поскольку они с большей вероятностью разделяли две функции, даже при поддержании общих линий отчетности. Те, у кого самый низкий уровень зрелости, безусловно, с наибольшей вероятностью будут сохранять кибербезопасность как часть ИТ, и с наименьшей вероятностью будут разделять функции и придавать кибербезопасности отдельную идентичность.
Тема повышения авторитета кибербезопасности и отделения его от ИТ также нашла отражение в структуре отчетности в наиболее зрелых опрошенных компаниях, где больше CISO отчитывается перед главным операционным директором (COO) и директором по репутации(CRO), чем перед директором по информационным технологиям (CIO) и техническим директором (CTO).
Согласование усилий в области кибербезопасности с общей бизнес-стратегией компании.
Компании с наиболее зрелыми программами управления рисками признали, что кибербезопасность должна быть более тесно связана с общей стратегией. «Рост и расширение бизнеса» были определены, как вторая по величине проблема кибербезопасности наиболее зрелыми респондентами, в отличие от четвертого и пятого приоритетов среди тех, кто имеет второй уровень зрелости.
Действительно, менее зрелые респонденты часто все еще сталкиваются с гораздо более базовыми проблемами. Те, кто на один уровень ниже продвинутого, назвали «сложность определения приоритетов вариантов обеспечения безопасности предприятия» своей второй по значимости проблемой, в то время как проблема номер один, стоящая перед наименее зрелыми респондентами, заключалась в «нехватке управленческой поддержки и недостаточном финансировании».
Решение проблем роста и расширения будет иметь решающее значение для CISO, так как соображения кибербезопасности, вероятно, будут множиться вместе с внедрением новых платформ, продуктов, географического присутствия, приложений и веб-возможностей.
Кибербезопасность - это путешествие, а не пункт назначения
Хотя опрос показал, что респонденты с высоким уровнем зрелости, возможно, остановились на надежной системе управления и заложили основу для эффективной программы управления киберрисками, им предстоит еще проделать большую работу, чтобы укрепить возможности защиты и реагирования в отрасли. Такие усилия обрели новое чувство безотлагательности в эпоху повышенной чувствительности потребителей к безопасности и конфиденциальности данных, а также к дополнительным нормативным требованиям.
Поэтому достижение совершенства в области кибербезопасности останется постоянным путешествием со многими поворотами, а не конечным пунктом назначения. Ни одна страховая компания не может позволить себе почивать на лаврах. Кибератаки по-прежнему будут более смелыми и изощренными, заставляя страховщиков реагировать. Страховщики должны будут постоянно улучшать свои возможности, как человеческие, так и технологические, чтобы быть на шаг впереди тех, кто пытается проникнуть в их цифровую крепость и поставить под угрозу их операции.
Подготовлено порталом Allinsurance.kz