Українські Національні Новини
інформаційне агентство
Дякуємо лікарям, які рятують країну!
Субота, 04 квітня 2020 11:42
Блоги: Володимир Павелко

КІБЕР-ЛІДЕРСТВО: вимога часу та новий тренд в управлінні

Позиціонування кібербезпеки в компанії на операційно-технічному чи, навпаки, стратегічному рівні, має значення – і безпосередньо впливає на результати бізнесу.

Наприкінці минулого року мені довелося провести трохи часу в Carnegie Mellon University (CMU) в Піттсбурзі, США, спілкуючись з учасниками навчальної програми для топ-управлінців CISO (Chief Information Security Officer). Перший факт, який мене вразив на одній з презентацій в університеті: виявляється, середня тривалість перебування на посаді керівників кібербезпекових підрозділів – 18 місяців. Очевидно, при цьому їм бракує розуміння загальної стратегії як такої, та й інструментів впливу всередині компанії.

Бізнес кібербезпеки сьогодні вважається таким же динамічним як напрямки ІТ та діджитал, а світ і Україна переживають цифрову трансформацію: переведення чутливих персональних даних і ключових бізнес-операцій у віртуальне середовище. Але в той же час функцію кібербезпеки переважно досі розглядають, як підтримуючу в бек-офісі. На жаль, також все ще домінує точка зору, що для роботи в кібербезпеці потрібно мати в першу чергу технічні навички, які можуть бути універсальними в будь-якому бізнесі.

Особливо такий стан речей характерний для українського бізнесу. Згідно з дослідженням KPMG, наше топ-керівництво не розглядає кібер-ризики навіть у першій п’ятірці загроз. Тому і не дивно, що питання кібербезпеки залишаються десь внизу на операційному рівні. У світі ж таке ставлення багато хто переосмислює. Скажімо, на програмі CISO CMU я побачив зрілих управлінців, у великої кількості з яких не було технічної освіти. Спроможність мислити системно вже переважає технічні навички.

Та чи варто нам стверджувати, що CISO має бути стратегом і впливати на ухвалення управлінських рішень? Щоб розібратись із цим, поглянемо на мапу універсальних стратегічних ризиків. До них можна віднести:

-          зупинку бізнес-процесів,

-          втрату інтелектуальної власності,

-          порушення вимог законодавства та контрактів,

-          втрату персональних даних,

-          втрату репутації,

-          фінансові втрати – як результат всього переліченого вище.

При роботі в кіберпросторі вразливість щодо цих загроз значно підвищується. І без участі лідера напрямку кібербезпеки адекватно їх оцінити та врахувати для розробки загальної бізнесової стратегії навряд чи взагалі можливо. Кібербезпека знаходиться не у вакуумі, це процес спільного рішення топ-менеджерів компанії. Скажімо, маркетинг і продажі сьогодні все більше мігрують у віртуальний простір, інноваційні розробки (авторський контент) дедалі стають більш вразливими в цифровому світі. Звісно, такі тренди висувають відповідні вимоги і до CISO. Лише технічного підґрунтя для цієї ролі вже явно недостатньо – потрібне цілісне розуміння бізнесу.

До того ж потрібне і системне розуміння контексту, в якому ми взаємодіємо. Україна перебуває на геополітичному цивілізаційному розломі, на нашу державу здійснюється військовий тиск Російської Федерації. Разом з цим, ми переживаємо трансформацію ключових управлінських процесів на державному рівні (Мінцифри, «Держава в смартфоні»). Так, ми маємо хорошу ІТ-інфраструктуру та доступність інтернету, що дає переваги для ведення бізнесу, але в той же час створює нові виклики при використанні цієї інфраструктури для кібер-атак. В економічній сфері зростає конкуренція, за рахунок нових технологій знижуються бар’єри входу багатьох ринків, для бізнесу національні кордони стираються. Тому крім перенесення інформації в цифру, потрібно розуміти ширшу картину: як ця інформація перебуває і взаємодіє в кіберпросторі з іншими цифровими гравцями, які небезпеки вона породжує та який вплив має на економічні результати бізнесу.

Показово, що за словами колег з Піттсбургу, найбільша кількість хакерів і хакерських груп зосереджені в Росії, Китаї, Північній Кореї; і Україну та Білорусь так само відносять до цього переліку. Частково це можна пояснити тим, що тут держава та бізнес не створили умов для самореалізації людей з технічними (і не лише технічними) здібностями, причому мова не просто про робочі місця, а радше про смисли та значущі проекти. В результаті маємо прямо під боком фактично цілу армію хакерів. При цьому багато українських СЕО досі вважає, що всі ці гучні справи з величезними збитками від кібератак – десь в іншій реальності, а не поруч.

Для управління інформацією в цифровому просторі вже створені певні правила гри, що знайшли своє відображення в GDPR (General Data Protection Regulation) і були далі роз’яснені EDPB (European Data Protection Board). Ми ще не впровадили ці правила, але Україна рухається до ЄС, тому маємо зважати і на них. А також – дивитись на прецеденти, що стаються у кіберпросторі об’єднаної Європи. Найбільш гучний факт – штраф Google на 50 млн. євро від французького регулятора CNIL за те, що не достатньо попереджала, як збирає інформацію про клієнтів. З менш масштабних прикладів – 4,8 тис. євро та притягнення до відповідальності місцевої австрійської компанії через те, що камера зовнішнього спостереження знімала не лише тих, хто входить в офіс, але й частину тротуару. Ну і відомі факти блокувань американських медіа на території ЄС за те, що не привели свою роботу у відповідність до вимог GDPR. Отже, ми маємо великий пласт комплайенсу, юридичних ризиків у кіберпросторі, з якими стикається управлінець.

Отже, що маємо у підсумку:

-          Світ стає все більше залежним від кіберпростору, і питання кібербезпеки в ньому виходять на топ-рівень при ухваленні управлінських рішень.

-          У ефективних керівників кібернапрямків над технічними навичками переважає тип мислення управлінця – спроможність розгледіти взаємозв’язки в екосистемі та між екосистемами.

-          Широту мислення допомагають тренувати нейронауки – міждисциплінарний перетин біології, медицини, психології, хімії, інформатики, математики і мовознавства, а правильність ухвалення управлінських рішень – ще й ядро гуманітарного розвитку – етика поведінки в кіберпросторі – та подальша спрага до навчання.

Пам’ятаєте, аграрна революція була успішною не лише завдяки тим, хто вмів сіяти, але й тим, хто вмів організовувати процес сівби, вибору місцини і надання певного смислу цим діям. Індустріальна революція була успішна не лише завдяки кмітливим інженерним діям, але й тим, хто зміг організувати обіг товарів, що були вироблені фабриками і заводами. І надати нового смислу індустріальним товарам. Технологічна революція відбулася завдяки співпраці людей і технологій. Інформаційна революція, і, зокрема, в кібербезпеці, може відбутися при відповіді на питання «Навіщо ми мігруємо в цифру? Які результати бажаємо отримати? В чому смисл нашої тотальної цифровізації?» І це вже питання не звичайного операційного досвіду, а створення майбутнього візійного образу.

Загрузка...