Компания Trend Micro Incorporated опубликовала результаты нового исследования , согласно которым 90% ИТ-руководителей утверждают, что их компании готовы к компромиссам в вопросах кибербезопасности в пользу цифровой трансформации, повышения производительности или достижения иных целей. Больше того, 82% опрошенных почувствовали, что на них давят, требуя преуменьшить серьёзность киберрисков перед советом директоров.

«ИТ-руководители вынуждены заниматься самоцензурой: выступая перед советом директоров, они опасаются звучать чересчур настойчиво или слишком пессимистично. Почти треть из них ощущает давление постоянно. Но такой подход только укрепляет порочный круг, в котором топ-менеджеры не осознают истинные масштабы рисков, — объясняет Бхарат Мистри (Bharat Mistry), технический директор Trend Micro в Великобритании. — О рисках следует говорить таким образом, чтобы кибербезопасность рассматривалась как фундаментальный драйвер роста бизнеса, помогая объединить усилия ИТ-руководителей и руководителей компаний, которые на самом деле борются за одно и то же».

«Сотрудники, принимающие решения в области ИТ, ни в коем случае не должны преуменьшать серьёзность киберрисков для совета директоров. Но им, возможно, придётся подобрать иную терминологию, чтобы обе стороны понимали друг друга, — отметил Фил Гоф (Phil Gough), глава отдела информационной безопасности Nuffield Health, крупнейшей в Великобритании компании в области здравоохранения. — Это первый шаг к согласованию бизнес-стратегии со стратегией кибербезопасности, и этот шаг очень важен. Формулирование киберрисков в бизнес-терминах привлечёт к ним необходимое внимание и поможет высшему руководству признать безопасность фактором роста, а не препятствием для инноваций».

Исследование показывает, что только 50% ИТ-руководителей и 38% лиц, принимающих бизнес-решения, считают, что топ-менеджмент полностью осознаёт масштаб киберрисков. Хотя некоторые считают, что это связано с тем, что тема сложная и постоянно меняется, многие уверены, что руководитель либо недостаточно старается (26%), либо просто не хочет понимать (20%).

Существуют также разногласия между ИТ-лидерами и руководителями бизнеса по поводу того, кто в конечном итоге несёт ответственность за управление рисками и их смягчение. ИТ-руководители почти в два раза чаще, чем бизнес-лидеры, указывают на ИТ-команды и директоров по информационным технологиям. 49% респондентов утверждают, что киберриски по-прежнему рассматриваются как проблема ИТ, а не как бизнес-риски.

Подобное противоречие может стать причиной серьёзных неприятностей: 52% респондентов согласны с тем, что отношение их организации к киберрискам непоследовательно и меняется от месяца к месяцу. Однако 31% респондентов считают, что кибербезопасность сегодня является самым большим бизнес-риском, а 66% утверждают, что она оказывает наибольшее влияние на затраты из всех бизнес-рисков — это выглядит противоречием, если учесть общую готовность идти на компромисс в отношении безопасности.

Респонденты считают, что есть три основные фактора, которые вынудят высшее руководство обратить больше внимания на киберриски:

• 62% думают, что это случится после взлома организации,
• 62% считают, что поможет возможность давать более чёткое и понятное объяснение бизнес-рисков, причиной которых являются киберугрозы,
• 61% уверены, что на ситуацию могут повлиять клиенты — если начнут требовать более совершенной защиты данных.

«Чтобы кибербезопасность превратилась в вопрос уровня совета директоров, топ-менеджмент должен рассматривать её как полноценный инструмент поддержки бизнеса, — отметил Марк Уолш (Marc Walsh), архитектор корпоративной безопасности в Coillte, крупнейшей ирландской компании в области лесного хозяйства. — Это побудит руководителей ИТ и безопасности формулировать проблемы перед советом директоров на языке бизнес-рисков. И для этого потребуются приоритетные упреждающие вложения со стороны совета директоров, а не только временные решения после взлома».