МОСКВА, 31 октября. /ТАСС/. Большинство российских компаний считают, что киберриски существенно влияют на деятельность их организаций, но при этом каждой второй компании не хватает компетенций по управлению этими рисками. Такие выводы приводятся в проведенном исследовательской компанией Deloitte опросе топ-менеджеров российских компаний по теме управления киберрисками (результаты опроса есть у ТАСС).
По данным исследования, 85% респондентов полагают, что киберриски существенны для деятельности их организаций. При этом почти 50% опрошенных отметили недостаточный уровень компетенций в области управления киберрисками. "Это может означать недостаточную эффективность механизмов управления рисками, присущими инновационным технологиям, несмотря на усилия, прикладываемые организациями", - полагают в Deloitte.
Более 55% компаний в России уделяют внимание управлению рисками, присущими инновационным технологиям, уже на этапе формирования идеи (более 55%) или проектирования (35%). Кроме того, организации также стремятся управлять киберрисками бизнес-среды, в которой они работают: для снижения таких рисков чаще всего применяются разовые меры (например, первичная проверка в рамках тендера) или реактивные (уже после того, как событие произошло - например, штрафы или проверки по требованию).
"В связи с повсеместным стремительным внедрением инновационных технологий реактивный подход к управлению киберрисками может не позволить своевременно выявлять угрозы, возникающие в бизнес-среде, в которой ведет свою деятельность организация. В таких условиях проактивный подход к оценке киберрисков должен применяться более широко", - полагают в Deloitte.
Рекомендации экспертов
"Для эффективного управления киберрисками в современных условиях недостаточно фокусироваться на внедрении стандартов информационной безопасности или передовых технических решений и программного обеспечения. Необходимо учитывать взаимосвязь киберрисков с основной деятельностью организации и ее стратегическими целями", - пояснил ТАСС партнер Deloitte в СНГ Денис Липов.
По его словам, критически важным становится не сам факт внедрения технического решения, а то, как выстроен процесс, обеспечивающий работу этого решения в организации.
Липов полагает, что надежные бизнес-процессы становятся "одним из рубежей в защите активов организации". "Кибербезопасность больше не может ограничиваться "техническим ракурсом", "бизнес-ракурс" становится неотъемлемой частью комплексной программы обеспечения кибербезопасности", - пояснил он. Так, злоумышленник может воспользоваться человеческим фактором или вступить в сговор с сотрудником организации, уточнил он.
Специалисты в сфере кибербезопасности должны не только проходить программы дополнительного обучения и сертификаций: как считает эксперт, им также нужно работать над повышением своих знаний о бизнесе организации, в которой они работают. "В то же время сотрудники и руководство организации должны повышать свою осведомленность о киберрисках. По сути, в большинстве организаций уже есть все необходимые для управления киберрисками знания, но важно обеспечить передачу знаний внутри компании от бизнеса сотрудниками кибербезопасности и наоборот", - добавил он.
Липов заключил, что целью руководителей компаний в сфере кибербезопасности должно стать смещение фокуса на разработку стратегии кибербезопасности с учетом бизнес-стратегии организации и консультирование бизнеса по вопросам управления киберрисками.