Как повысить эффективность затрат финансовых организаций на кибербезопасность - «Финансы»

Уровень киберугроз постоянно растет и компании тратят все больше денег на защитуот них. Особенно актуальна эта проблема для банков, инвестиционных фондов и финансовых институтов, потери которых от действий киберпреступников особенно высоки.

Согласно исследованию «Кибербезопасность в финансовых организациях», проведенного международной компанией «Делойт», бюджеты крупных международных частных банков и финансовых организаций составляют от 4 до 20 млн долларов в год а в крупных публичных финансовых структурах могут превышать 200 млн долларов. Бюджеты банков продолжают расти, что связано с ужесточением требований Банка России и значительной активизацией хакерских атак. Ожидается, что рынок систем и услуг в области кибербезопасности для банков и финансовых организаций вырастет по всему миру за период с 2017 по 2022 годы в среднем на 14,1%.

Однако обеспечить стопроцентную защиту бизнеса в век повсеместной цифровизации и тесного отраслевого взаимодействия просто невозможно. И чем активнее компания внедряет новые технологии, тем больше внимания должно быть уделено защите от киберугроз. Как финансовые организации могут повысить эффективность расходов бюджета и направить усилия в нужном направлении?

Для того, чтобы правильно спланировать бюджет, банкам необходимо увязать стратегию информационной безопасности организации с ее бизнес-задачами. Киберриски должны быть выявлены и учтены на момент постановки бизнес-целей: нужно определить, какие данные, какие процессы и какой ключевой персонал нужно защитить в первую очередь. Именно на этих направления финансовые компании должны тратить свои основные денежные ресурсы.

Для повышения результативности программ по управлению киберрисками компаниям необходимо активнее привлекать совет директоров к процессу разработки программы построения риск-ориентированного подхода к кибербезопасности. Члены совета директоров должны быть ознакомлены со всеми деталями программы противодействия киберугрозам. Это позволит топ-менеджменту корректировать тактику управления бизнесом с учетом вопросов кибербезопасности, а пристальное внимание на самом высоком уровне вовлечет всех сотрудников в процессы управления киберрисками.

Организации должны выстраивать у себя несколько уровней защиты от киберпреступности — все бизнес-подразделения и региональные офисы организации должны принимать участие в реализации программы кибербезопасности. И во всех структурах должны быть назначены специалисты, которые оказывают поддержку централизованной команде. Наиболее продвинутые в вопросах кибербезопасности организации, согласно опросу «Делойта», внедряют у себя «смешанную» систему защиты, которая позволяет распределять ответственность за безопасность между центром и региональными офисами, а также между различными департаментами.

Так как обычно штат сотрудников, отвечающих за кибербезопасность, невелик, необходимо, чтобы весь персонал понимал свою ответственность за кибербезопасность, был знаком с правилами безопасности и готов сообщить о потенциальной угрозе. А в случае, если злоумышленники смогут реализовать успешную хакерскую атаку, — помочь с ликвидацией ее последствий.

Наряду с другими видами риска финансовые организации могут рассмотреть возможность страхования киберрисков, так как потери в результате кибератак становятся все более внушительными. К примеру, две трети из наиболее продвинутых в области кибербезопасности компаний, включенных в исследование «Делойта», сообщили, что они страхуют свой бизнес от всех видов киберугроз.

И последняя, но не менее важная рекомендация, — расширять обязанности руководителей по кибербезопасности, переориентировать их с решения текущих технических проблем на стратегические задачи. Согласно исследованию «Делойта» сегодня 74% руководителей тратят большую часть своего времени на внедрение стандартов информационной безопасности и технического обеспечения организации, а также на изучение ландшафта угроз и управление программой обеспечения информационной безопасности. Цель — сделать их приоритетом разработку стратегии кибербезопасности и консультирование бизнеса по вопросам снижения киберрисков.

Согласно прогнозам аналитиков, количество и уровень сложности кибератак, направленных против банков, пенсионных фондов и страховых компаний будет продолжать расти. В связи с этим эффективность использования ИТ-бюджетов и результативность работы служб, отвечающих за кибербезопасность, будут все более актуальными для топ-менеджмента. А финансовые организации должны адаптировать свою деятельность к этим переменам и идти на шаг впереди тех, кто намерен нанести им ущерб.