Кибербезопасность стала главной заботой советов директоров компаний, предоставляющих финансовые услуги, и уровень обеспокоенности, похоже, растет с каждым днем.
Поскольку организации стремятся создать новый цифровой опыт для клиентов, применяя сложную аналитику данных и вкладывая средства во множество других технологических инноваций, управление киберрисками явно требует управления на самом высоком уровне. Наступление кризиса COVID-19 делает эту проблему еще более актуальной.
Задолго до начала пандемии Институт банковской политики и McKinsey начали заниматься этими проблемами. Чтобы получить более глубокую информацию и помочь советам директоров принимать решения, мы совместно провели опрос ведущих финансовых компаний, чтобы оценить текущие тенденции, проблемы и решения в области кибербезопасности. Мы обнаружили, что советы директоров не только тратят значительное количество времени на проблемы кибербезопасности и способы их решения, но и назначают комитеты для решения этих проблем.
Однако, хотя многие советы директоров работают над интеграцией устойчивости кибербезопасности в свои общие усилия по управлению рисками, они еще не научились последовательно измерять эти риски и обеспечивать максимальное соотношение цены и качества.
По мере того, как советы директоров рассматривают свои следующие шаги, они могут подражать более продвинутым фирмам, которые начинают внедрять стратегию кибербезопасности и управления технологическими рисками на основе бизнес-операций. Эти фирмы объединяют свои усилия по контролю рисков кибербезопасности и технологий с операционными рисками и устойчивостью. Они дают своим советам директоров новые взгляды на информацию, чтобы помочь им оценить киберриски по отношению к толерантности к риску предприятия и обеспечить, чтобы члены совета директоров обладали знаниями для наблюдения за этой деятельностью.
В этом отчете обобщены результаты нашего исследования и описаны некоторые шаги, которые сейчас предпринимают зрелые компании.
Растущая и возрастающая роль совета директоров
В опросе приняли участие 23 фирмы, оказывающие финансовые услуги, в основном из Северной Америки. Выборка включала самые разные размеры и направления бизнеса. В опросе было 14 вопросов по трем основным направлениям:
Надзор. Каков характер надзора за киберрисками со стороны совета директоров, в том числе, какие комитеты несут ответственность, кто работает над ними и как часто они встречаются?
Структура. Формируют ли советы директоров технологические комитеты с полномочиями, включающими кибернадзор, и, если они есть, каковы их структура и устав?
Осведомленность и понимание. Как советы директоров становятся более осведомленными об этих рисках, лучше понимают их и повышают свои навыки и знания?
Надзор: более частый и интенсивный
Действия советов директоров отражают повышенное внимание, которое все финансовые компании уделяют киберрискам. Девяносто пять процентов комитетов совета директоров, например, обсуждают киберриски и технологические риски четыре или более раз в год. Одна из таких фирм проводит необязательные углубленные занятия за неделю до ежеквартального заседания совета директоров. На этих сессиях рассматриваются соответствующие темы, такие как обновленная информация о текущих данных об угрозах, тематические исследования недавних нарушений, которые могут повлиять на компанию или других участников отрасли, а также влияние изменений в нормативных актах.
За последние несколько лет произошел заметный сдвиг в осведомленности советов директоров о кибербезопасности: например, более раннее исследование McKinsey, проведенное в 2017 году, показало, что только 25 % всех компаний предоставляют своим советам обновления информационных технологий и безопасности более одного раза в год. Более частое и последовательное общение между членами совета директоров и высшим руководством по этой теме теперь позволяет советам директоров понимать финансовые, операционные и технологические последствия возникающих угроз кибербезопасности для бизнеса и соответствующим образом направлять его действия.
Фирмы все чаще набирают экспертов в эти комитеты. Например, у 65% из них есть хотя бы один член совета директоров, обладающий опытом в области кибербезопасности, технологических рисков или того и другого. В число этих директоров входят старшие руководители ведущих технологических компаний и руководители с опытом работы в сфере обороны или разведки.
Структура: назначение специализированного технологического комитета
Комитеты по рискам и аудиту являются основными надзорными за этими рисками, но все большее число фирм - 22 % в целом и до 35 % в некоторых сегментах - имеют комитет по технологиям для надзора за кибербезопасностью.
Стремление к лучшему надзору за киберрисками - одна из причин создания таких комитетов, но не единственная причина. В их уставы входят:
• Интеграция надзора за киберрисками и устойчивостью с технологиями и операционной устойчивостью, включая непрерывность бизнеса.
• Применение экспертного подхода к стратегическому выбору технологий, инновациям, инициативам трансформации и инвестициям.
• Лучшее управление нормативными проблемами и запросами в этих областях.
Осведомленность и понимание: наблюдается рост, но проблемы остаются
Растущая осведомленность и внимание советов директоров к рискам кибербезопасности находит свое отражение по разным причинам - например, как компании сообщают о таких рисках своим советам директоров. Тем не менее, эти отчеты остаются проблемой для многих. Действительно, 65 % компаний включают вопросы кибербезопасности и операционной устойчивости в отчеты для совета директоров. Еще 9% планируют сделать это в ближайшее время. Однако типы и количество показателей, которые фирмы используют для сообщения своим советам директоров о киберрисках, сильно различаются между фирмами, и большее количество показателей не коррелирует с размером фирмы.
Более продвинутые фирмы сообщают стандартный набор ключевых показателей риска или показателей эффективности, относящихся к ним, и указывают уровень своей устойчивости в контексте подверженности их бизнеса отраслевым рискам. Некоторые фирмы сосредотачиваются на технических показателях, таких как обнаружение вредоносных программ. Восемь стандартизируют свои метрики или используют чередующийся набор, в зависимости от обсуждаемой темы.
Почти все фирмы видят ценность в том, чтобы регулярно информировать совет директоров о текущих рисках: 91% из них предоставляют обновления не реже одного раза в год. Обычно их возглавляют ответственные комитеты совета директоров или руководитель службы информационной безопасности. Почти половина фирм (48 %) проводят регулярные «настольные» учения по кибербезопасности с советом директоров для повышения осведомленности и знаний.
Сроки возникновения кризисов кибербезопасности могут быть непредсказуемыми, но большинство из них развиваются предсказуемым образом. Первая реакция во многом определяют результат. Сделать первые шаги правильно - это суть усилий, направленных на то, чтобы стать сильнее. Фирмы считают, что это моделирование позволяет их советам директоров понять бизнес-риски конкретных кризисов кибербезопасности и их способность реагировать.
Расширенные правления: более интегрированная стратегия кибербезопасности
Передовые советы директоров меняют свою роль в области кибербезопасности, активно пытаясь понять киберриски для своих компаний и помогая определять направление в отношении рисков и инвестиционной стратегии. Такой сдвиг в участии советов директоров вызывает ряд факторов - например, рост числа нарушений кибербезопасности, попадающих в заголовки газет, регуляторы, которые все чаще возлагают на компании ответственность за устранение пробелов в их устойчивости к кибербезопасности, а также повышение уровня кибербезопасности и технологий.
Правления, ищущие направление, могут воспользоваться подсказками тех, кто уже начал следовать стратегии кибербезопасности и управления технологическими рисками, интегрированной с бизнес-операциями. Эти стратегии состоят из трех основных элементов.
Интеграция рисков кибербезопасности и технологий с операционным риском и устойчивостью
Передовые советы директоров сосредоточены на цифровой трансформации своих компаний. Во-первых, они интегрируют кибербезопасность в свои технологические стратегии, включая надзор за инвестициями в технологии, программы цифровой трансформации и развитие дифференцированного обслуживания клиентов. Они также отделяют киберугрозы от киберрисков. Киберугрозы - это технические эксплойты кибербезопасности, такие как повышение привилегий, использование уязвимостей или фишинг. Киберриски - это потенциальные угрозы для предприятия в результате потери конфиденциальности, целостности и доступности цифровых активов.
Предоставление правлению правильных инструментов для оценки рисков кибербезопасности и технологий
Передовые компании в этой области применяют общую терминологию рисков, чтобы измерить свою устойчивость к кибербезопасности и максимально снизить риск на разных уровнях инвестиций (в качестве дополнения к качественным обсуждениям). Они также внедряют эффективный подход к сообщению о киберрисках своим советам директоров и, таким образом, позволяют директорам определять, какие риски находятся в пределах допустимых значений, а какие нет и почему.
Благодаря такому пониманию киберрисков зрелые фирмы определяют свою терпимость к ним, а затем принимают решения о киберинвестициях, чтобы оптимизировать воздействие на снижение рисков. Такая защита «оптимальная по затратам и рискам» обеспечивает тот же уровень общей защиты критически важных активов, что и традиционный подход, основанный на оценке рисков, для управления киберрисками, но более легким и менее дорогостоящим способом, повышающим производительность.
Зрелые фирмы также оптимизируют свои метрики и связывают KPI и ключевые индикаторы риска (KRI), внедряя метрики, которые измеряют как входы, так и выходы. Входы - это усилия компании по снижению рисков, а выходы - это снижение корпоративного риска. В контексте защиты данных, например, критически важные активы, требующие защиты данных, могут стать выходной метрикой или KRI. Если предположить, что это не 100 %, связанная метрика затрат или KPI может представлять собой долю критических активов, покрытых с последнего отчетного периода, и общее количество критических активов, которые фирма планирует покрыть.
Обеспечение наличия у правления необходимых знаний и навыков
Ведущие фирмы гарантируют, что советы директоров знают о кибербезопасности и технологических рисках в контексте бизнеса, их потенциальном воздействии и о том, как руководство решает их. Такие фирмы информируют совет директоров по этим вопросам не реже одного раза в квартал с дополнительными информационными и образовательными занятиями по мере необходимости. Они используют симуляции и настольные упражнения, чтобы подготовить правление и проверить свои способности, как высшего высшего руководства, чтобы отреагировать на крупный киберинцидент: например, они будут моделировать кризис, связанный с кибербезопасностью, такой как атака программ-вымогателей, которые могут раскрыть данные клиентов.
Такое моделирование помогает руководителям высшего звена лучше подготовиться к принятию важных решений под давлением, а совет директоров получает более глубокое понимание возможностей фирмы. Понимание, полученное с помощью моделирования, помогает уточнить сценарий действий в кризисных ситуациях и сформировать тип «мышечной памяти», необходимый для принятия соответствующих решений в режиме реального времени с ограниченной информацией.
Киберриски разнообразны, их трудно предсказать или количественно оценить, и они растут. Зрелые советы директоров применяют комплексный подход к управлению киберрисками, разрабатывая стратегии, интегрированные с остальной частью бизнеса, чтобы повысить свою осведомленность, понимание и навыки. Таким образом, они становятся важными и ценными партнерами для руководства в усилиях по повышению устойчивости своих фирм.
Авторы:
McKinsey: Такер Бейли, партнер офиса в Вашингтоне; Сумья Банерджи, эксперт по киберрешениям в офисе в Нью-Йорке;
Институт банковской политики в Вашингтоне: Кристофер Фини, исполнительный вице-президент, Хизер Хогсетт, старший вице-президент по технологиям и стратегии рисков.
Перевод с англ. подготовлен порталом Allinsurance.kz