Высшее руководство компаний должно лично заниматься кибербезопасностью
Если высшее руководство компании лично не участвует в принятии решений в области информационной безопасности, это может серьезно повредить бизнесу. Об этом говорится в исследовании, результаты которого были опубликованы в среду.
"Многие организации считают кибербезопасность делом исключительно ИТ-отдела, – говорит Карен Хьюз, директор программ внутренней безопасности в Американском институте национальных стандартов, одном из главных спонсоров отчета. – Мы хотим пробудить руководителей компаний по всей стране. Смысл нашего послания в том, что это очень серьезный вопрос, он стоит вам больших денег".
Отчет озаглавлен "Финансовое управление киберрисками". В нем даются конкретные рекомендации, каким образом руководители высшего звена могут внедрять программы управления киберрисками в своих компаниях. Отдельный акцент делается на то, что в разработке мер информационной безопасности должны участвовать финансовые директора компаний.
В отчете цитируется статистика, которую привела администрация президента Барака Обамы в мае прошлого года: за период с 2008 по 2009 годы американский бизнес потерял от кибератак около триллиона долларов, причем в эту цифру не входят убытки от хищения личной информации и потери клиентов.
По словам исследователей, убытки от типичного взлома десяти тысяч личных учетных записей составляют порядка 2 млн долларов.
"Мы считаем, что если у нас получится донести до американских организаций, сколько они теряют денег, мы сможем сделать следующий шаг в направлении решения проблемы", – говорит Ларри Клинтон, президент Альянса интернет-безопасности. По его словам, до 90% проблем в области кибербезопасности можно избежать, если следовать общеизвестным процедурам и технологиям, которые часто недооцениваются высшим руководством компании.
С этим согласен Джастин Сомэйни, директор по информационной безопасности Symantec. "Большинство компаний, специализирующихся на информационной безопасности, с трудом внедряют даже самые простые решения, – говорит он. – Бóльшая часть этого труда затрачивается на преодоление сопротивления внутри самой организации".
Рекомендации, которые приводят эксперты, включают такие меры как создание группы информационной безопасности, разработка общего плана по борьбе с киберугрозами во всех подразделениях компании, создание единого бюджета по кибербезопасности.
© @Astera