Deutsch
Francais
Nederlands
Svenska
Norsk
Dansk
Suomi
Espanol
Italiano
Portugues
Magyar
Polski
Cestina
Русский
Współczesne organizacje muszą traktować ryzyko cybernetyczne z równą powagą, jak rozwój infrastruktury IT. W zarządzaniu ryzykiem cybernetycznym kluczowe jest opracowanie strategii oceny bezpieczeństwa aktywów oraz potencjalnych zagrożeń związanych z naruszeniem danych. W związku z tym, członkowie rady nadzorczej powinni zrozumieć, że cyberbezpieczeństwo to problem zarządzania ryzykiem na poziomie całej organizacji, który wymaga podejścia strategicznego, międzydziałowego i ekonomicznego. Cyberbezpieczeństwo nie może być traktowane wyłącznie jako problem IT, lecz jako kwestia mogąca wpłynąć na interesariuszy, zakłócić działalność firmy i zagrozić bezpieczeństwu poufnych informacji oraz zasobów przedsiębiorstwa. W związku z tym nadzór nad zarządzaniem ryzykiem cybernetycznym powinien być odpowiedzialnością całej rady nadzorczej.
Rada nadzorcza nie może polegać na jednolitym podejściu do wszystkich zagrożeń związanych z cyberbezpieczeństwem. Członkowie rady muszą opracować plany, które będą skutecznie zarządzać wszystkimi możliwymi formami ryzyka cybernetycznego. Firmy muszą również stworzyć organizacyjną kulturę, która zapewni, że wszyscy pracownicy będą traktować kwestie cyberbezpieczeństwa poważnie. W tym zakresie najlepsze praktyki cyberbezpieczeństwa powinny być integralną częścią programów szkoleniowych i warsztatów w firmie. Pracownicy muszą być również świadomi nowych zagrożeń cybernetycznych, które pojawiają się w różnych częściach świata.
Najważniejsze jest, aby rada nadzorcza przyjęła strategię obejmującą całą organizację w celu rozwiązania problemów związanych z cyberbezpieczeństwem i złagodzenia skutków cyberataków. Ponadto skuteczne zarządzanie ryzykiem związanym z cyberzagrożeniami w ramach ładu korporacyjnego jest niezbędne, aby ograniczyć negatywne konsekwencje cyberataków. W związku z tym członkowie rady nadzorczej muszą być w pełni zaangażowani w opracowywanie, wdrażanie oraz modyfikowanie strategii mających na celu zarządzanie zagrożeniami cybernetycznymi. Rada powinna również przeznaczyć odpowiednie fundusze i zasoby niezbędne do przeciwdziałania znanym i nieznanym zagrożeniom cybernetycznym.
Rada nadzorcza musi również upewnić się, że zarząd włącza ocenę ryzyka oraz odporność na cyberzagrożenia do ogólnej strategii biznesowej oraz planu zarządzania ryzykiem w całej organizacji. Istnieje wiele trudności związanych z zarządzaniem wszystkimi możliwymi ryzykami cybernetycznymi w ekosystemie biznesowym. Trudności te wynikają z wyrafinowanych metod stosowanych przez cyberprzestępców w przeprowadzaniu ataków. Na przykład, pojawienie się ataków typu spear phishing umożliwiło cyberprzestępcom skuteczne przeprowadzenie naruszeń danych wysokiego szczebla. Tego rodzaju ataki często naruszają poufność i integralność danych przechowywanych w różnych systemach.
Dodatkowo, przyjęcie strategii dystrybucji produktów, które angażują wielu dostawców i partnerów z różnych regionów i krajów, zwiększa narażenie organizacji na ryzyko cybernetyczne. Podobnie, przejęcia i fuzje firm wiążą się z wyższym ryzykiem cybernetycznym, ponieważ integracja złożonych systemów w krótkim czasie jest skomplikowana. Organizacje mają także trudności z tworzeniem bezpiecznych systemów zarządzających poziomem łączności między dostawcami, klientami, partnerami i siecią korporacyjną.
Jednym z najistotniejszych zagrożeń dla cyberbezpieczeństwa firm jest przechowywanie dużych ilości wrażliwych danych na zewnętrznych sieciach lub w chmurze publicznej. Fakt, że organizacje nie kontrolują ani nie zarządzają tymi sieciami, stanowi poważne ryzyko. Wiele firm błędnie zakłada, że dostawcy chmurowi zapewnią odpowiednie środki ochrony danych. Jest to powszechny błąd, który może prowadzić do utraty reputacji firmy w przypadku naruszenia danych. Dlatego rada nadzorcza musi upewnić się, że zarząd regularnie ocenia cyberbezpieczeństwo sieci firmy oraz szerokiego ekosystemu biznesowego, w którym działa.
Ważnym zadaniem rady nadzorczej jest również zidentyfikowanie i ochrona wartościowych zasobów firmy. Odpowiedzialność rady polega na wskazaniu zarządowi ryzyk cyberataków o niskim i wysokim prawdopodobieństwie, które mogą mieć katastrofalne skutki dla organizacji. Zarząd musi opracować strategię ochrony tych zasobów, a następnie zapewnić radzie nadzorczej jej skuteczność. Mimo świadomości, że to rada nadzorcza odpowiada za nadzór nad ryzykiem cybernetycznym w firmie, wielu członków rady nie wie, jak skutecznie zarządzać tymi zagrożeniami. Choć ryzyka cybernetyczne można adresować poprzez rozwój organizacyjnego podejścia do zarządzania ryzykiem, nie da się ich całkowicie wyeliminować. Dlatego członkowie rady muszą dobrze rozumieć charakter zagrożeń cybernetycznych w swoim otoczeniu oraz być gotowi do poszukiwania różnych metod, które zwiększą bezpieczeństwo firmy.
Zarząd może delegować odpowiedzialność za poszczególne zagadnienia związane z cyberbezpieczeństwem do audytu, technologii, ryzyka czy komitetów międzynarodowych, a także prowadzić częste rozmowy na temat nadzoru nad tymi zagadnieniami z członkami zarządu i rady. Ważne jest również, aby przed powołaniem członków komitetu ds. cyberbezpieczeństwa opracować jasne kryteria, które zapewnią wybór odpowiednich kandydatów. Po powołaniu komitetu, członkowie tego ciała powinni regularnie sprawdzać, czy strategie opracowane przez radę nadzorczą są odpowiednie i skuteczne. Rada nadzorcza powinna spotykać się z komitetem co najmniej raz na kwartał, aby omówić kwestie związane z cyfrową transformacją, które mogą wpływać na cyberbezpieczeństwo organizacji.
Jakie czynniki należy wziąć pod uwagę przy obsadzaniu stanowisk w zarządzie firm zajmujących się cyberbezpieczeństwem?
W procesie obsadzania wakatów w zarządzie firmy, komitet ds. nominacji i zarządzania powinien brać pod uwagę wiele czynników. Wśród nich znajdują się wiedza finansowa, doświadczenie w branży oraz globalne, chęć kontrolowania interesariuszy oraz inne zestawy umiejętności. Niemniej jednak, właściciele firm i akcjonariusze mają istotny wpływ na skład zarządu, co oznacza, że to oni decydują, czy do zarządu zostanie dołączony ekspert ds. cyberbezpieczeństwa (Internet Security Alliance, 2020). Decyzja właścicieli firm i akcjonariuszy o powołaniu specjalistów z zakresu cyberbezpieczeństwa lub technologii informacyjnej do zarządu nie musi jednak być ostateczna. Członkowie zarządu mogą bowiem poszukiwać innych sposobów, by wnieść odpowiednią wiedzę na temat zagrożeń związanych z cyberbezpieczeństwem do sali posiedzeń zarządu.
Zarząd może zlecić przeprowadzanie szczegółowych analiz lub zaprosić niezależnych ekspertów ds. cyberbezpieczeństwa, którzy dokonają oceny skuteczności wprowadzonych w firmie programów zabezpieczeń. Ponadto, zarząd może korzystać z usług zewnętrznych doradców, takich jak audytorzy zewnętrzni czy prawnicy, aby pozyskać perspektywę szerszego rynku i ogólnych zagrożeń związanych z cyberbezpieczeństwem (Hess & Morton, 2020; Internet Security Alliance, 2020).
Ważnym aspektem jest także ciągłe kształcenie członków zarządu w dziedzinie cyberbezpieczeństwa. Regularne uczestnictwo w programach edukacyjnych, zarówno wewnętrznych, jak i zewnętrznych, pozwala członkom zarządu na bieżąco śledzić nowe trendy w zarządzaniu ryzykiem cybernetycznym. Warto również stworzyć możliwość wymiany zdobytej wiedzy z innymi członkami zarządu, co pozytywnie wpłynie na podejmowane decyzje w kwestii cyberbezpieczeństwa (Internet Security Alliance, 2020).
Choć członkowie zarządu są ekspertami w wielu dziedzinach, ważne jest, aby potrafili spojrzeć na zarządzanie ryzykiem w szerokiej perspektywie przedsiębiorstwa. Zajmowanie się cyberzagrożeniami wymaga umiejętności zarządzania ryzykiem na poziomie całej organizacji, a nie tylko w ramach poszczególnych działów. Mimo że nie jest obowiązkowe posiadanie eksperta ds. cyberbezpieczeństwa w zarządzie, członkowie zarządu muszą mieć jasność co do tego, kto w organizacji ponosi odpowiedzialność za kwestie związane z cyberbezpieczeństwem. W niektórych firmach odpowiedzialność ta spoczywa na specjalnych komitetach, członkach wyższej kadry menedżerskiej lub całym zarządzie (Aguilar, 2014; Hess & Morton, 2020; Internet Security Alliance, 2020).
Członkowie zarządu muszą zdawać sobie sprawę z faktu, że cyberzagrożenia stanowią poważne ryzyko dla interesariuszy firmy, ponieważ organizacje nie są w stanie zapewnić pełnej ochrony przed wszystkimi formami ataków cybernetycznych. Brak pełnej ochrony wynika z wysokiej cyfrowej interkoneksji współczesnego świata oraz szybkości, z jaką pojawiają się nowe zagrożenia (Aguilar, 2014; Internet Security Alliance, 2020). Dodatkowo, cyberprzestępcy mogą dysponować bardziej zaawansowanymi zasobami niż największe organizacje, co sprawia, że trudniej jest ich zidentyfikować lub zatrzymać, w porównaniu do tradycyjnych przestępców (Aguilar, 2014; Seema et al., 2018; Internet Security Alliance, 2020). Pomimo tego, zarząd może podjąć działania w celu zwiększenia dostępu do specjalistów ds. cyberbezpieczeństwa. Przykładem może być stworzenie systemu kontrolno-równoważącego, w którym różni eksperci odpowiadają za różne aspekty zarządzania ryzykiem cybernetycznym. Takie podejście pozwala na wyważoną ocenę podejmowanych działań w zakresie zabezpieczeń i zapewnia większą przejrzystość w kwestii zarządzania cyberzagrożeniami (Internet Security Alliance, 2020).
Jednak nawet w firmach, które posiadają odpowiednie raporty na temat cyberzagrożeń, często istnieją problemy z jakością tych informacji. Zgodnie z badaniami przeprowadzonymi przez National Association of Corporate Directors (2016), 25% dyrektorów firm publicznych w Stanach Zjednoczonych wyraziło niezadowolenie z jakości raportów dostarczanych przez kierownictwo na temat cyberbezpieczeństwa. Przyczyny tego niezadowolenia obejmowały trudności w interpretacji informacji, niemożność oceny ogólnej efektywności organizacji na podstawie tych danych oraz brak odpowiedniej przejrzystości (National Association of Corporate Directors, 2016, 2017). Wobec tego zarząd musi ustalić jasne oczekiwania wobec zarządu wyższego szczebla w kwestii formatu raportów o cyberbezpieczeństwie. Oczekiwania te powinny dotyczyć częstotliwości i szczegółowości raportów, a także tego, aby były one przedstawiane w języku biznesowym.
Ponadto, zarząd powinien zwrócić uwagę na możliwą tendencję do minimalizowania rzeczywistego stanu zagrożenia w raportach przygotowywanych przez menedżerów. Około 60% pracowników działów IT nie zgłasza ryzyka cyberbezpieczeństwa, dopóki nie staje się ono trudne do zniwelowania lub nie prowadzi do poważnych konsekwencji (Internet Security Alliance, 2020). Dlatego zarząd powinien promować kulturę otwartości i przejrzystości w zakresie raportowania ryzyka cybernetycznego i jego zarządzania.
Wreszcie, aby skutecznie zarządzać ryzykiem związanym z cyberzagrożeniami, zarząd powinien wymagać od kierownictwa opracowania kompleksowego systemu zarządzania ryzykiem cybernetycznym. Aby stworzyć takie podejście na poziomie całej organizacji, firma musi najpierw ocenić swoje specyficzne ryzyko cybernetyczne oraz zagrożenia płynące z cyfrowego środowiska. Organizacje, które nie posiadają odpowiednich mechanizmów oceny ryzyka, są narażone na największe straty związane z cyberzagrożeniami (Internet Security Alliance, 2020). Przy odpowiednim zrozumieniu swojego profilu ryzyka oraz dostępnych zasobów, firma będzie mogła skuteczniej minimalizować potencjalne zagrożenia cybernetyczne, co w dłuższej perspektywie przyczyni się do jej sukcesu.