Мифы о кибербезопасности, в которые все еще верят маленькие компании

Громкие случаи атак на Target, Home Depot и JPMorgan Chase поставили вопрос кибербезопасности на повестку дня для компаний больших и малых. Но, несмотря на непрерывные комментарии СМИ и заметки о «наилучших практиках», консультант Adam Epstein из Third Creek Advisors отмечает, что члены советов директоров компаний с малой капитализацией и те, кто рассматривает или готовится к первичному публичному размещению акций, все еще сбиты с толку настойчивыми мифами на эту тему.

Сбитые с толку компании включают многие из Силиконовой Долины, где можно было бы ожидать найти более технически подкованных, говорит он. Я попросил Epstein, автора книги-руководства для корпоративных советов директоров, быстро набросать руководство для начинающих о том, что директоры, как они думают, знают о кибер-атаках, но на самом деле это не так. Итак, вот его бесплатный совет:

1. Кибер-атаки можно предотвратить.

Нет, это не так. Атаки – это лишь вопрос времени, а не вероятности. Как гуру безопасности Tom Ridge недавно заметил в моем интервью с ним в журнале Directorship, ваши сети, вероятно, уже были подвержены атаке. Если компании из списка Fortune 50 с девятизначным годовым бюджетом на кибербезопасность не могут предотвратить атаки, то и вы не можете. Эффективная кибербезопасность больше касается определения корпоративных «королевских регалий», делая это таким же сложным, как и вероятным для них покинуть здание, и наличия продуманного плана по восстановлению устойчивости после атаки.

2. IT-команда на посту

Нет, вероятно, нет. Контроль совета по кибербезопасности в основном состоит из приглашений начальника по информационным технологиям делать периодические презентации по межсетевым экранам компании и антивирусного ПО. Испытывая недостаток в экспертах по безопасности, большинство советов директоров коллективно испаряются, услышав об обновлении информационных технологий. К сожалению, кибербезопасность только частично вопрос информационных технологий. Это также вопрос корпоративной культуры, обучения персонала и физической безопасности. Вам нужно беспокоиться о недовольных сотрудниках и вашей цепочки поставок, уже не говоря той малой компании, которую вы только что приобрели. Это выходит далеко за пределы информационных технологий.

3. Кибер-кража - дело кредитных карт

За последние несколько месяцев я консультировался с несколькими советами директоров, чьи члены заявили, что из-за того, что их бизнесы не хранят или обрабатывают данные о кредитных картах, эта область не является причиной для беспокойства. Неверно, кибер-воры имеют разнообразные цели, от небольшого хаоса до шпионажа, незаконного присвоения и терроризма. Информация по кредитной карте, несомненно, является целью, но целью также являются и персональные данные, интеллектуальная собственность, стратегические заметки, списки клиентов и другая непубличная информация.

4. Всегда незамедлительно раскрывайте кибер-вторжения

Хотя замечательно хотеть выйти перед инцидентами атак и добровольно раскрыть их, это иногда может поставить совет директоров в невыгодное положение. Рассмотрим атаку на Target, где размер и характер этого кризиса существенно расширялся с каждым пресс-релизом. Вредоносные программы могут активизироваться после их обнаружения и нанести дальнейший ущерб. Часто маловероятно, что первая информация, полученная советом директоров об атаке, будет точной и всеобъемлющей, поэтому будьте осторожны, чтобы не усложнять кризис, добровольно его искажая.

5. Не беспокойтесь, у нас есть страховка на этот случай

Множество так называемых кибер-покрытий являются следствием трехстраничного заявления, которое мало затрагивает качество и степень компьютерно-сетевой архитектуры вашей компании, протоколов физической безопасности и безопасности данных, а также культуры корпоративного риска. Конечное покрытие обычно не достигает цели. Множество кибер-политик исключает больше, чем они покрывают. Убедитесь, что политика подписана после углубленных, информированных оценок вашей компании, а не просто стандартизированная форма, отправленная по e-mail. Удачи. Вам это тоже понадобится.