• 7 შეკითხვა, რომელიც დირექტორებმა კიბერუსაფრთხოების შესახებ უნდა დასვან (ENG)
სტატია:

7 შეკითხვა, რომელიც დირექტორებმა კიბერუსაფრთხოების შესახებ უნდა დასვან

19 აგვისტო 2019

მასალის ორიგინალი, ინგლისურენოვანი ვერსია ნახეთ ბიდიო ავსტრალიის ვებგვერდზე.

თანამედროვე ციფრულ სამყაროში კიბერუსაფრთხოება კომპანიის მმართველი საბჭოსთვის რისკის მნიშვნელოვანი სფეროა. დირექტორებმა სწორი შეკითხვები უნდა დაუსვან მენეჯმენტს იმისთვის, რომ ინფორმირებული იყონ - არიან თუ არა რისკის წინაშე და თუ არიან, რა რისკებთან აქვთ საქმე. წარმოგიდგენთ მნიშვნელოვან თემებს, რომელიც დირექტორებმა უსათუოდ უნდა იცოდნენ.

1. რა არის დირექტორთა საბჭოს როლი კიბერუსაფრთხოებაში?

დირექტორთა საბჭოს როლს წარმოადგენს კიბერრისკების იდენტიფიცირება და პრიორიტეტების მინიჭება უმაღლესი მენეჯმენტის  დონეზე. ამისთვის საჭიროა საბჭოს წევრებმა საკუთარ თავს დაუსვან შემდეგი შეკითხვები:

  • ვიცით თუ არა თუ რას წარმოადგენს ჩვენი კრიტიკული ინფორმაციული აქტივი და სად არის ის ლოკალიზებული?
  • ვიცით ვის მიუწვდება მასზე ხელი, ვინ არის პასუხისმგებელი მის დაცვაზე და რამდენად კარგად არის ეს აქტივი დაცული?
  • ვიცით ჩვენი მოვალეობები და შედეგები, სადამდეც ჩვენი მოვალეობების შეუსრულებლობამ შეიძლება მიგვიყვანოს?
  • ვიცით, როგორ ვუპასუხოთ კიბერუსაფრთხოების ინციდენტს?

2. როგორია მსხვილი კიბერთავდასხმის შედეგები ორგანიზაციისა და დირექტორთა საბჭოს წევრებისთვის?

მსხვილ კიბერთავდასხმას შეუძლია სერიოზული ზიანი მიაყენოს თქვენს ორგანიზაციას, თუ ამისთვის მზად არ იქნებით. ამან შეიძლება გავლენა იქონიოს თქვენს შემოსავალზე, ორგანიზაციის მდგომარეობასა და მომხმარებლების ნდობაზე ორგანიზაციის მიმართ. დირექტორთა საბჭოს წევრები ორგანიზაციის დამცველები არიან და პასუხისმგებლობას იღებენ კიბერრისკების ეფექტურად მართვის უზრუნველყოფაზე. როგორც დირექტორთა საბჭოს წევრს, შესაძლოა თქვენც დაგეკისროთ პირადი პასუხისმგებლობა ნებისმიერ რისკსა თუ პრობლემაზე, რომელიც კიბერუსაფრთხოებასთან არის დაკავშირებული და შეუძლია უარყოფითი გავლენა იქონიოს ორგანიზაციაზე, თუ არ მოხდება მისი სიფრთხილით მართვა. დირექტორთა საბჭომ საკუთარ თავს უნდა ჰკითხოს რამდენად კარგად ესმის ორგანიზაციის კიბერრისკები და გააკეთა თუ არა ყველაფერი ამ რისკების მართვისთვის.

3. როგორ უზრუნველყოფს დირექტორთა საბჭო მისი წევრების ინფორმირებას საკმარისი ინფორმაციით კიბერრისკების შესახებ?

დირექტორთა საბჭომ უნდა მოითხოვოს რეგულარული ბრიფინგები (არანაკლებ 2-ჯერ წელიწადში) თავის სფეროში არსებული კიბერგარემოს ტენდენციებისა და რისკების, ასევე იმის შესახებ, თუ როგორ შეუძლია ამ უკანასკნელს ორგანიზაციაზე გავლენის მოხდენა. აღნიშნული ბრიფინგები შესაძლოა ჩატარდეს ორგანიზაციის შიგნით არსებული კიბერუსაფრთხოების, რისკების ან IT ჯგუფის, ანდა გარე მომწოდებლის მიერ, რომელსაც ხელი უნდა მიუწვდებოდეს სფეროს სხვადასხვა ტენდენციაზე კიბერუსაფრთხოების თვალსაზრისით. ბრიფინგები უნდა მოიცავდეს შემდეგ საკითხებს:

  • უკანასკნელი კიბერმოვლენებისა თუ შეტევების თემატური კვლევა თქვენი ორგანიზაციის სექტორში
  • წარმოქმნილი კიბერსაფრთხეები და ტენდენციები თქვენს სექტორში და მათი შემსუბუქების გზები
  • თქვენი ორგანიზაციის კიბერრისკებისა და ნებისმიერი იმ პრობლემის შესახებ სტატუსის განახლება, რომელიც მათ მართვას უკავშირდება

4. უნდა ზრუნავდეს თუ არა აუდიტის კომიტეტი კიბერუსაფრთხოებაზე?

ეს დამოკიდებულია ორგანიზაციულ სიმწიფესა და კომიტეტის წევრების გამოცდილებაზე. თუკი კომიტეტის სტრუქტურაში განიხილება ოპერაციული რისკი მთელი ბიზნესის ჭრილში, მაშინ ის უნდა მოიცავდეს კიბერუსაფრთხოებას. იქ, სადაც აუდიტის კომიტეტი უფრო კონცენტირირებულია ფინანსურ რისკსა და შესაბამისობის რისკზე, ქვეკომიტეტი ფოკუსირებული კიბერუსაფრთხოებაზე ორგანიზაციისთვის შესაძლოა საუკეთესო ვარიანტი იყოს.

5. გვაქვს თუ არა ჩარჩოები კიბერირსკების მართვისთვის?

კიბერრისკების მართვის სისტემები ხშირად დამოკიდებულია სფეროს ტიპსა და სავარაუდო რისკზე ორგანიზაციის შიგნით და უნდა წარმოადგენდეს ორგანიზაციის რისკების მართვის არსებული სისტემის დამატებას. არსებობს კიბერ/ინფორმაციული უსაფრთხოების რისკების მართვის რიგი სისტემები, რომელიც შესაძლოა მიღებულ იქნას ორგანიზაციების მიერ.  NIST (National Institute of Standards and Technology) - ერთ-ერთი ასეთი სტრუქტურაა, რომელიც საკმაოდ დიდი პოპულარობით სარგებლობს ავსტრალიაში. ამ სტრუქტურას ასევე უწოდებენ კიბერმდგრადობის სტრუქტურას, რომელიც შედგება მოწინავე მეთოდების, სტანდარტებისა და რეკომენდაციების ნაკრებისგან, რომელიც ორგანიზაციებს ეხმარება, გააუმჯობესონ კიბერუსაფრთხოების საკუთარი ზომები.

6. რას უნდა ითვალისწინებდეს კიბერუსაფრთხოების ჩვენი პროგრამა?

საბჭოს როლი მდგომარეობს არა კიბერუსაფრთხოების სტრატეგიის განსაზღვრაში, არამედ კიბერუსაფრთხოების სტრატეგიისა და პროგრამის შემუშავებაში ორგანიზაციის კიბერრისკების მართვისთვის მისაღებ დონემდე, რომელიც დაწესებულია საბჭოს მიერ. ქვემოთ წარმოდგენილია რამდენიმე მნიშვნელოვანი შეკითხვა, რომელიც საბჭომ უნდა დასვას თავისი პროგრამის განხილვის დროს:  

  • გვაქვს თუ არა მკვეთრად განსაზღვრული როლი და მოვალეობები კიბერუსაფრთხოების სფეროში?
  • მოქმედებს თუ არა ჩვენთან კიბერრისკების მუდმივი მართვის პროცესი, რომელიც მოიცავს კიბერრისკების რეგულარულ შეფასებასა და მონიტორინგს?
  • ვახორციელებთ თუ არა პერონალისა და ხელმძღვანელობის შესაბამის მომზადებას კიბერრისკებისა და უსაფრთხოების საკითხებში?
  • რამდენად რეგულარულად ვაწარმოებთ კიბერუსაფრთხოების ჩვენი პროგრამისა და სტრატეგიის გადახედვასა და განახლებას, რათა დავრწმუნდეთ რომ ის აქტუალურია უკანასკნელი ტენდენციების გადაწყვეტისთვის კიბერუსაფრთხოების მიმართულებით?
  • გვაქვს თუ არა საკმარისი დაფინანსება კიბერუსაფრთხოების ჩვენი პროგრამის მართვისთვის?

7. კიბერუსაფრთხოების რა დონის დაზღვევაა საჭირო და რას უნდა ფარავდეს იგი?

თანამედროვე ციფრულ სამყაროში კიბერთავდასხმების ალბათობა მაღალია და მათი შეჩერება სულ უფრო რთული ხდება. მნიშვნელოვანია, რომ ორგანიზაციებმა დაიწყონ სტრატეგიების ძიება კიბერთავდასხმების ზემოქმედების მართვისა და მინიმიზაციისთვის. სულ უფრო მეტი ორგანიზაცია იძენს კიბერდაზღვევას კიბერრისკების მართვის სტრატეგიის ფარგლებში. დაზღვევის განხილვის შემთხვევაში დირექტორთა საბჭომ უსათუოდ უნდა გაითვალისწინოს შემდეგი მომენტები:

  • რამდენად გულდასმით იქნა შესწავლილი რისკები, რათა გააზრებული იყოს ის რეალური რისკები, რომელთა დაზღვევაც განიხილება. ამგვარი კიბერრისკების გააზრება ორგანიზაციას საშუალებას მისცემს მიიღოს ინდივიდუალური კიბერპოლისი.
  • დადასტურდა, რომ კიბერდაზღვევის პოლისი ფარავს მნიშვნელოვან კიბერრისკებს? ორგანიზაციისთვის მსგავსი კიბერრისკის შეფასება (მაგალითად, ფიშინგი, გამოძალვა, პერსონალურ მონაცემთა დარღვევა და სხვა) სადაზღვევო პროვაიდერთან იქნება გარანტია იმისა, რომ ორგანიზაცია მიიღებს კიბერრისკების აუცილებელ დაფარვას.
  • არსებობს თუ არა რისკების შემცირების სტრატეგია კიბერინციდენტების ზემოქმედების მართვისთვის და გაიტესტა თუ არა ის, რათა დავრწმუნებულიყავით მის ეფექტურობაში? სადაზღვევო კომპანიები კიბერდაზღვევაზე  ფასდაკლებებს სთავაზობენ იმ ორგანიზაციებს, რომლებიც ახორციელებენ კრიზისების მართვის ეფექტურ გეგმებს (მაგალითად, ავარიული აღდგენის გეგმა და რეაგირება კიბერინციდენტებზე).