Neli nutikat nõukogu küsimust küberturvalisuse järelvalves

Mis on nõukogu roll küberturvalisuses?

Küberturvalisus on tõusnud ettevõtete nõukogude jaoks üheks keskseks äririski valdkonnaks. Sageli on lõhe just nõukogu liikmete teadmiste ja infoturbejuhtide tehniliselt sügavama arusaama vahel, mis võib takistada tõhusat järelevalvet. Wall Street Journali artiklis “Four Smart Questions for Boards Overseeing Cybersecurity” (Allison Prang, 19.12.2024) toodi välja neli küsimust, mida nõukogu liikmed võiksid küberturvalisuse teemal turvajuhtidelt küsida. Järgnevalt refereerime neid küsimusi ning lisame RiskSighti vaatenurga, miks need küsimused on olulised ja kuidas neid praktiliselt rakendada.

1. Kas juhid nõustuvad peamiste küberturberiskide osas?

Eesmärk: Oluline on, et nõukogu, juhtkond  ja infoturbejuht jagaksid ühist arusaama, millised on kõige olulisemad riskid. Kui üksmeel puudub, võib ressursside ja tähelepanu jaotamine olla ebaefektiivne. See küsimus aitab tuvastada, kas riskide prioriseerimine on kooskõlas ettevõtte strateegiliste eesmärkidega.

RiskSighti kommentaar: Meie kogemus näitab, et riskide kaardistamisel tekivad sageli erinevad rõhuasetused, näiteks IT-osakond näeb tehnilisi ohte, samas kui juhtkond ja nõukogu keskendub äriprotsessidele ja mainekahjule. Siin on oluline ühendada need perspektiivid ühtseks riskipildiks. Tõhusaks tööriistaks on strateegilised lauaõppused, kus eri osapooled saavad läbi mängida realistlikke stsenaariume ja arutada, millised riskid on ärile kõige olulisemad.

Edasised sammud: Näiteks võib ettevõttes tekkida arutelu, kas prioriteediks seada lunavararünnete ennetamine või tarneahelaga seotud riskide maandamine. Mõlemad on olulised, kuid nõukogu peab otsustama, millise mõju ja tõenäosusega riskid vajavad kiiremat tähelepanu. RiskSighti strateegilised lauaõppused aitavad osalejad panna olukorda, kus otsuseid tuleb teha piiratud ressurssidega tingimustes. Näiteks võidakse õppuse käigus simuleerida olukorda, kus ettevõte seisab korraga silmitsi nii tarneahela turvaprobleemiga kui ka sisemise andmelekkega. Milline neist saab esimese prioriteedi ja miks? Sellised simulatsioonid aitavad juhtidel mõista, kuidas prioriteetide seadmine tegelikus olukorras toimub ja kuidas otsuseid strateegiliselt õigustada.

2. Milline on ettevõtte küberturvalisuse kultuur?

Eesmärk: Küberturvalisus ei saa olla pelgalt tehniline ala, vaid peab olema osa organisatsioonikultuurist. Küsimus aitab nõukogul mõista, kuidas turvateadlikkus ja -käitumine on juurutatud kõikides osakondades ja tasanditel.

RiskSighti kommentaar: Kultuur on sageli määravam kui tehnilised kontrollid. Kui töötajad ei tunne end mugavalt intsidente raporteerides või kui infot hoitakse kinni, tekib organisatsioonis haavatavus. RiskSighti kogemus koolituste ja simulatsioonidega on näidanud, et positiivne ja avatud turbekultuur suurendab märgatavalt valmisolekut reageerida ja vähendab juhtumite varjamise riski.

Edasised sammud: Nõukogu võiks regulaarselt küsida, kuidas töötajate teadlikkust mõõdetakse ja arendatakse. Näiteks võivad selleks olla regulaarsed õngitsuskampaaniad, mille tulemused annavad märku töötajate valmisolekust ründeid ära tunda. RiskSight pakub koolitusprogramme, kus töötajad saavad harjutada rünnete äratundmist praktilistes keskkondades. Lisaks saab kasutada anonüümseid küsitlusi, mis näitavad, kas töötajad tunnevad, et juhtkond väärtustab turvalist käitumist või pigem karistab eksimusi. Kui juhtkond näeb, et raporteeritud turvasündmuste arv kasvab, võib see olla hoopis positiivne märk viidates selleele, et töötajad julgevad infot jagada, mis omakorda suurendab organisatsiooni vastupanuvõimet ja reageerimiskiirust küberrünnetele.

 

3. Milline on plaan küberrünnete korral regulaatorite ja osanikega suhtlemiseks?

Eesmärk: Regulatiivne keskkond muutub aina rangemaks. Näiteks nõuab Euroopa Liidu NIS2 direktiiv kiiret ja läbipaistvat intsidentide raporteerimist. Küsimus aitab nõukogul mõista, kas ettevõttel on selge kommunikatsioonistrateegia nii järelevalveasutuste, klientide kui ka investoritega.

RiskSighti kommentaar: Meie hinnangul on kommunikatsioonikava olemasolu sama oluline kui tehniline intsidentidele reageerimise plaan. Regulatiivsete trahvide ja mainekahju kõrval on läbipaistvus usalduse hoidmise võti. Strateegilistes õppustes oleme sageli näinud, kuidas läbimõtlemata kommunikatsioon süvendab kriisi, näiteks kui esialgu antud info osutub hiljem ekslikuks. Hästi ettevalmistatud plaan aitab vältida paanikat ja tugevdada usaldust.

Edasised sammud: Praktiliselt võiks nõukogu veenduda, kas ettevõttel on määratud kõneisik, kes vastutab kriisikommunikatsiooni eest? Kas on olemas eelnevalt koostatud sõnumimallid erinevate stsenaariumite jaoks, sealhulgas klientide teavitamiseks andmelekkest või investoritele aruandmiseks finantsmõjude kohta? RiskSighti koolitused pakuvad simulatsioone, kus juhid saavad turvalises keskkonnas läbi harjutada kriisikommunikatsiooni rollimänge. Näiteks võib õppuse käigus osalejatele esitada ootamatu ajakirjaniku küsimuse või regulaatori nõude, et testida valmisolekut reageerida kiiresti ja läbimõeldult.

4. Mida teha suurema eelarvega?

Eesmärk: See küsimus sunnib infoturbejuhti mõtlema loovalt ja väljuma olemasoleva eelarveraamistiku piirangutest. Nõukogu saab seeläbi parema arusaama, millised olulised initsiatiivid on jäänud rahastuse taha pidama ja millised oleksid prioriteedid lisavahendite olemasolul.

RiskSighti kommentaar: Meie praktikas on sageli selgunud, et just need „soovide nimekirja“ elemendid paljastavad kõige kriitilisemad kitsaskohad, olgu selleks uue ohutuvastuslahenduse kasutuselevõtt, varundusvõimekuse tugevdamine või töötajate koolituse laiendamine. Küsimus aitab nõukogul mõista, millised riskid võivad olla jäänud varju ning annab võimaluse hinnata, kas mõni neist vajab siiski kiiremat lahendamist.

Edasised sammud: Kui infoturbejuht näiteks vastab, et lisavahendid läheksid töötajate pideva koolituse laiendamiseks, on see signaal, et inimfaktor on praegu kõige suurem riskikoht. Kui aga soov on investeerida uude tehnoloogiasse, tuleb hinnata, kuidas see haakub ettevõtte üldise strateegiaga. RiskSight soovitab nõukogudel korraldada „mis siis, kui“ töötubasid, kus erinevaid eelarvesuurenduse stsenaariume praktiliselt läbi mängitakse. Sellised arutelud aitavad juhtidel mõista, millised investeeringud on suurima tasuvusega.