Как писать докладную по кибербезопасности, чтобы на нее обратили внимание и использовали
Опросы свидетельствуют, что бизнесмены и топ-менеджеры сегодня больше внимания уделяют вопросам охраны предприятия, в том числе и особенно – кибербезопасности.
PricewaterhouseCoopers International Limited, глобальная сеть консалтинговых компаний, провела исследование, которое показало, что в текущем году 71% американских предпринимателей «чрезвычайно обеспокоены» киберугрозами для их бизнеса. Несколько лет тому назад таких было меньше – 61% (Chief Security Magazine, April 20, 2021).
Однако беспокойство и интерес к этой теме не равнозначны пониманию сложных процессов и операций по информационной защите предприятия. Поэтому эксперты считают исключительно важным умение так составлять отчеты и доклады по кибербезопасности, чтобы они были доходчивыми а, главное, действенными. Что для этого надо?
Учет конкретной аудитории, каковой адресуется бумага
Аналитические записки о киберугрозах в отличие от других корпоративных документов, например, регулярных финансовых отчетов, не регламентируются какими-то правилами и нормами, которые вырабатываются долговременной практикой. Авторы должны в первую очередь учитывать уровень знания и понимания проблем безопасности теми, кому записка адресована. Одно дело, когда отчет предназначен директору по информационным технологиям и совсем другое, если он направляется президенту или генеральному директору компании, указывает Брюс деГрация, руководитель кафедры кибербезопасности University of Maryland (там же).
Здесь, кстати, встает вопрос: кому в организации направлять такие документы? Это зависит от структуры и культуры отчетности каждой компании, отвечают эксперты. В ряде фирм отчеты службы кибербезопасности отправляются только непосредственному начальнику. Им может быть директор по общим вопросам корпоративной безопасности или директор по информационным технологиям, или президент/генеральный директор компании.
В других организациях рассылка шире. В списке адресатов могут быть все члены правления компании, другие топ-менеджеры. Это характерно для тех организаций, где в структуре правления есть комиссии или подкомитеты, занимающиеся вопросами кибербезопасности и шире – охраны предприятия.
Формат, функциональность и время
Единого лекала для подобных служебных бумаг не существует. Важно иметь в виду, что топ-менеджеры и акционеры – люди очень занятые, читающие массу информационной продукции. Поэтому надо выбирать такой формат отчета, чтобы он не прошел мимо внимания адресата.
В то же время имеет значение регулярность подготовки и рассылки. В зависимости от особенностей организации, доклады могут иметь недельную, месячную, квартальную периодичность. Многое здесь зависит от корпоративной культуры. Регулярность не исключает внеплановых, срочных докладных по конкретной угрозе. «Нельзя игнорировать факт, что угрозы возникают, и возникают часто неожиданно. Поэтому и реакция на них должна быть незамедлительной», - говорит деГрация.
Тимоти Кампо, начальник службы безопасности компании ISC ( Internet Systems Consortium разрабатывает интернет технологии) каждый квартал готовит доклад для совета директоров, ежемесячно – отчет для первого лица, директора по информационным технологиям, сотрудников СБ и отдела ИТ, ряда других менеджеров. Кроме того, пишет и рассылает срочные сообщения, когда появляются новые угрозы, требующие быстрого ответа. Например, когда на корпорацию SolarWinds (ведущего поставщика программного обеспечения для управления IT-инфраструктурой организаций) была проведена успешная хакерская атака (которую некоторые эксперты окрестили «взломом 2020 года»), Кампо написал и разослал по организации аналитическую записку, в которой объяснил, что эта атака не несет рисков для ISC.
Содержание отчетов
Хотя отчеты должны касаться киберугроз, уязвимостей, рисков, содержать предложения по их минимизации, эксперты не советуют слишком глубоко влезать в детали. «Рассказывать о каждой угрозе в отдельности бесполезно», - утверждает деГрация. Нужно касаться только тех угроз и рисков, которые связаны с конкретными уязвимостями информационной защиты компании. Информировать, что делается для их предупреждения и минимизации, что еще предстоит делать.
Также эксперты советуют давать обзор крупнейших кибератак на другие организации в контексте собственной безопасности. А также время от времени информировать о тенденциях и новых угрозах, появляющихся на горизонте, чтобы заблаговременно к ним готовиться.
© "АМУЛЕТ" 2003 г. Тел/Факс.(495) 614-40-60, 614-41-60,
Е-mail:sb@amulet-group.ru
|