Доверие, простота и окупаемость: Как директору по безопасности сделать защиту активом для бизнеса

В этом интервью для Help Net Security Джон О'Рурк, директор по информационной безопасности (CISO) компании PPG, рассказывает о том, что значит, когда безопасность создает ценность для бизнеса. Он объясняет, как зрелые программы безопасности снижают трение в циклах продаж и процессах слияний и поглощений (M&A), и как доверие строится со временем.

О'Рурк также затрагивает тему того, как возросшая осведомленность покупателей подняла планку для поставщиков, почему менее регулируемые отрасли отстают от более регулируемых и какие компании выиграют от фундаментальных инвестиций в безопасность. Интервью охватывает пять вопросов о стратегии кибербезопасности, возврате на инвестиции (ROI) и стоимости откладывания работ по безопасности.

Измеримая версия концепции «безопасность как катализатор дохода» проявляется, когда безопасность устраняет препятствия для роста способами, которые можно отследить. Например, ускорение циклов комплексной проверки (due diligence) при слияниях и поглощениях и циклов продаж, когда клиенты приобретают ваш продукт. В PPG мы создали межфункциональную структуру и команду для M&A с сильным акцентом на кибербезопасность. Это позволяет нам оценивать потенциальные компании, используя повторяемую структуру для интеграции, одновременно снижая киберриски.

В целом, зрелая программа кибербезопасности имеет стандартную документацию и процессы, которые позволяют давать ответы и обеспечивать контроль с минимальными усилиями. Это приводит к сокращению времени на закрытие сделок или меньшему количеству застопорившихся продаж. Существует несколько доступных структур, с которыми киберорганизации должны себя сравнивать, например, Национальный институт стандартов и технологий (NIST) и сертификаты Международной организации по стандартизации (ISO), Systems and Organizations Controls (SOC2), или, если вы работаете в регулируемой отрасли, Cyber Maturity Model Certification (CMMC).

Безопасность напрямую не «создает доход», однако инвестиции в эту область предотвращают ситуации, когда безопасность становится причиной задержек или потери выручки. Несколько примеров того, как безопасность снижает трение внутри PPG, включают автоматизированные процессы приема и увольнения сотрудников, расширение возможностей самообслуживания при доступе с соответствующими ограничительными рамками в управлении идентификацией и доступом, а также улучшенную готовность к аудиту, которая позволяет бизнес-инициативам продвигаться без задержек.

В командах, особенно в сфере кибербезопасности, доверие точно не отслеживается в электронных таблицах и не определяется простой «галочкой». На создание доверия требуется гораздо больше усилий, чем на его потерю. Независимо от использования официальных методологий, существуют способы перевода конкретных инцидентов в вероятные финансовые потери или простои, влияющие на доход или репутацию компании. В конечном счете, окупаемость инвестиций заключается в минимизации масштаба таких событий, позволяя компании беспрепятственно получать доход и продолжать укреплять доверие.

С точки зрения организации безопасности, этот вопрос лучше всего рассматривать через две призмы. Во-первых, поставщики решений безопасности постоянно внедряют новые функции, приобретают новые возможности и переименовывают продукты. Эта постоянная консолидация и расширение часто приводят к изменению терминологии и дублированию функционала. В результате решения о закупках нельзя рассматривать как изолированные. Каждое вложение требует тщательной проверки соответствия архитектуре, операционным процессам и последствий для управления. Инструменты должны быть глубоко протестированы, чтобы гарантировать заявленный функционал, бесшовную интеграцию в корпоративную среду и обеспечение защиты без внесения излишней сложности или рисков.

Во-вторых, с точки зрения клиента, интерес к системе кибербезопасности поставщика возрос благодаря оценкам и опросникам. Запросы от клиентов о состоянии кибербезопасности стали как никогда распространенными и могут быть очень объемными.

Наша цель — защитить нашу цепочку поставок, и поэтому мы проявляем аналогичный интерес к уровню кибербезопасности наших партнеров. Положительная сторона в том, что зрелость и осведомленность в области кибербезопасности в частном секторе растет, однако отрасль должна двигаться к определенной стандартизации в оценке программ. Зрелость программы не всегда гарантирует абсолютную защиту, но программа с реальной операционной зрелостью будет выделяться среди клиентов и поможет снизить риски.

В более регулируемых отраслях часто существуют сертификаты или требования, которые необходимо выполнить для работы. Эти сертификаты или требования приводят к внедрению базовых мер контроля с проверками, подтверждающими их реализацию. Менее регулируемые секторы часто откладывают вопросы безопасности до этапа роста доходов, что приводит к хрупким архитектурам, неконтролируемому росту учетных записей и техническому долгу, который впоследствии становится чрезмерно дорогим для исправления.

Злоумышленники действуют по ситуации и не выбирают цели по отраслям, поэтому разный уровень кибербезопасности между секторами экономики неустойчив. Вопросы защитных мер и архитектуры безопасности необходимо рассматривать как можно раньше, на этапе обсуждения корпоративной архитектуры. Программы безопасности должны соответствовать стандартным моделям, позволяющим регулярно оценивать и проверять их эффективность.

Компании, которые серьёзно инвестировали в базовую безопасность, находятся в лучшем положении для адаптации к технологическим изменениям. Это позволяет им обеспечивать непрерывность бизнеса, сохраняя стабильный уровень защиты. Такие организации вкладываются не только в средства защиты, но и понимают важность цифрового доверия для реализации стратегий роста.

Компании, рассматривающие безопасность как "центр затрат", часто делают лишь минимум для прохождения аудитов, откладывая фундаментальную работу и не создавая гибкую киберпрограмму. Эти организации столкнутся с длительным временем восстановления после инцидентов, ростом расходов из-за регуляторных рисков, потерей доверия и увеличением операционных сложностей. По мере развития технологий искусственного интеллекта, компании с развитой базовой защитой смогут внедрять ИИ с меньшими препятствиями и затратами на безопасность. Те же, кто этого не сделал, будут вынуждены тратить больше, действовать медленнее и подвергать себя повышенному риску.