Источник: Panda Security в России
Технология уже давно вышла за пределы «умных» лабораторий и по праву представлена в советах директоров компаний. В силу того, что «цифровая технология» проникает во все типы организаций, необходимо, чтобы топ-менеджеры компаний понимали суть этой новой эры. По данным отчета Gartner «2014 Gartner Financial Executives International Technology CFO Study», финансовые директора должны быть готовы к этой тенденции, т.к. они играют все более важную роль в принятии решений, связанных с IT. В докладе сказано, что порядка 30% из числа опрошенных финансовых директоров (а в сек торе SMB – порядка 40%) заявили, что они участвуют в принятии подобных решений (по сравнению с 24% в 2013 году). Если и существует область, на которую финансовые директора должны отдельно обратить свое внимание, так это, несомненно, вопросы информационной безопасности.
Нет, кибер-безопасность теперь не является заботой только лишь IT-менджеров или менеджеров по безопасности. Финансовые директоры также играют ключевую роль в определении стратегии предприятия в этой области. До сих пор их единственная роль в вопросах информационных компьютерных технологий сводилась к контролю бюджета ИТ-департамента, а также вместе с ИТ-директором они оценивали, в какое решение безопасности стоит инвестировать, стоит ли увеличивать расходы и пр. Но теперь, прежде всего они должны знать, как действовать, чтобы защитить свою организацию от все возрастающих рисков, появляющихся на рынке, начиная от инфекции, вызванной одной из множества существующих вредоносных программ, которая теперь работает на любой платформе, до постоянных угроз повышенной сложности (advanced persistent threat). По этой причине крайне важно, чтобы финансовый директор работал в связке с ИТ-директором при разработке плана безопасности, который должен идеально интегрироваться в бизнес-модель компании и ее деятельность, а также имел хорошие отношения с сотрудниками и учредителями компании, и при этом был на страже безопасности бренда и корпоративной репутации.
От контролера расходов до евангелиста
Как должен работать финансовый директор 21 века? Эксперты рекомендуют иметь на этой должности человека, способного анализировать вместе с ИТ-директором значимость ИТ-системы и уязвимости, возникающие при использовании IT, при этом он должен знать, что должна делать компания при атаке на нее, потому что сейчас практически невозможно предотвратить все более сложные инциденты в сфере информационной безопасности. Что действительно необходимо знать, - это как минимизировать ущерб от атаки.
С другой стороны, финансовый директор должен понимать, что эти типы атак непосредственным образом влияют на бизнес компании и ее положение на рынке. Об этом говорится в докладе по управлению рисками «The Value Killers Revisited: A risk management study» от Deloitte, в котором сказано, что «убийство» значимости компании не ограничено только такими факторами, как недавний кредит или кризис евро, переживаемый рынком, или M&A транзакции, но также включает в себя другие факторы, например, кибер-атаки, которые, к сожалению, очень распространены в наши дни, что мы могли увидеть совсем недавно (случай с Sony Pictures – это всего лишь один из многих).
Поэтому включение вопросов кибер-безопасности в список дел комитетов по управлению рисками и аудиторских проверок, в которых они принимают участие, - это обязанность для современных финансовых директоров, так что они должны иметь в виду, что активы компании требуют высочайшего уровня защиты в целях обеспечения непрерывности бизнеса. Кроме того, они должны принимать участие в разработке плана действий на случай возможного инцидента кибер-безопасности и быть уверены, что они знают, что следует делать, как и ИТ-директор и другие члены Совета директоров. Желательно, чтобы компании периодически имитировали атаки на себя для проверки того, что каждый ответственный сотрудник готов адекватно действовать в том случае, если произойдет настоящая кибер-атака.
Также финансовый директор должен объяснять менеджерам неявные риски в рамках новой цифровой эпохи, указывая на самых опасных игроков, а также быть способным оценить, какие методы, технологии и человеческие ресурсы лучшим образом подходят для борьбы с ними. По словам экспертов, одной из областей, на которой финансовые директоры должны сконцентрировать свое внимание, является наличие систем мониторинга, которые способствуют мгновенному выявлению атак в реальном времени для того, чтобы оперативно на них отреагировать. Необходимо предвидеть такие ситуации как можно лучше. Сегодня, например, немыслимо, чтобы только клиенты сообщали о возможных случаях мошенничества с сервисами, предлагаемыми компанией. Сами компании должны действовать максимально быстро и проактивно, а не реагировать только после того, как произошел случай нарушения безопасности, а также иметь стратегию по связям с клиентами и устранению инцидентов для тех пользователей и сторонних организаций, которые могли бы пострадать в результате инцидента.
Очевидно, что все вышесказанное не означает, что с настоящего момента финансовые директоры в одиночку должны вести все инициативы компании по борьбе с кибер-преступностью. Но они должны начать принимать все более активное участие и проповедовать в компании важность безопасности данных и необходимость применения политик защиты среди топ-менеджеров. Если говорить вкратце, то отныне компании (а также общество) являются настолько цифровыми, что их топ-менеджерам, включая и финансовых директоров, нельзя игнорировать риски и угрозы, которые влечет за собой новая цифровая эра, а также те шаги, которые представляются наиболее эффективными для решения данных проблем.
Начать дискуссию