По мнению аналитика Gartner Пола Проктора, в связи с ростом киберугроз, вызванных развитием Интернета вещей, все более важное значение приобретает роль руководителей, которые будут управлять рисками, связанными с использованием цифровых технологий (digital risk officer, DRO).
По его прогнозам, к 2017 году многие компании введут должность DRO, призванных уменьшить опасность, исходящую от Интернета вещей.
«DRO должен обладать как навыками делового администрирования, так и глубокими техническими знаниями, которые позволили бы ему выдавать предприятиям рекомендации по снижению рисков, связанных с использованием цифровых технологий», — заметил Проктор. По его словам, зона ответственности человека, находящегося на этой должности, сильно отличается от ответственности директора по информационной безопасности (chief information security officer, CISO).
DRO будет подчиняться одному из руководителей, не имеющих прямого отношения к ИТ-службе: директору по рискам (chief risk officer), директору по цифровым технологиям (chief digital officer) или директору по операциям (chief operating officer). На них возложена задача организовать на уровне высшего руководства управление рисками в бизнес-подразделениях, которые непосредственно связаны с цифровыми технологиями и поддерживают связь с коллегами при решении юридических вопросов, обеспечении конфиденциальности, соблюдении нормативных требований, в цифровом маркетинге, цифровых продажах и при выполнении цифровых операций.
По словам Проктора, Интернет вещей и подключенные устройства образуют спектр технологий, которые ставят дополнительные задачи перед существующими структурами кибербезопасности, требуя совершенствования навыков и инструментов для управления технологическими рисками.
«Простое расширение зоны ответственности существующей команды, управляющей ИТ-безопасностью, и включение в нее рисков, связанных с использованием интернет-технологий, вряд ли окажется жизнеспособным, — отметил Проктор. — Управление новыми технологиями за пределами ИТ-службы требует навыков и инструментов, находящихся вне сферы компетенции группы обеспечения ИТ-безопасности в нынешней ее зоне ответственности, а команда, которая будет управлять этими технологиями, в культурном плане отличается от ИТ-службы».
Разработка мер управления цифровыми рисками требует перестройки корпоративных структур, перераспределения ответственности, выявления новых возможностей в области безопасности и оценки рисков, а также при организации мониторинга, анализа и управления.
DRO будет оказывать влияние на управление, надзор и принятие решений при ведении цифрового бизнеса. Эта роль предполагает взаимодействие с генеральным и управляющим директором в целях улучшения понимания рисков, связанных с цифровым бизнесом, и нахождения оптимального баланса между необходимостью защиты организации и нуждами самого бизнеса.
Ликвидировать «культурный разрыв» между DRO и генеральным директором весьма непросто. Многие руководители убеждены в том, что технологии (и связанные с ними риски) представляют собой техническую проблему, управление которой должно осуществляться технически подготовленными людьми, работающими в ИТ-службе. И если этот разрыв не будет эффективно устраняться, технологические риски и сопряженные с ними риски для бизнеса достигнут неприемлемого уровня, а заниматься их оценкой и управлением никто не будет.
Директор по информационной безопасности (chief information security officer, CISO) и директор по безопасности (chief security officer, CSO) должны принимать более активное участие в управлении киберрисками с точки зрения как их оценки, так и смягчения.
В настоящее время большинство CISO и CSO уже выполняют соответствующие функции, особенно в части смягчения рисков, и происходит это обычно под эгидой ИТ-службы. Но в условиях ужесточения законодательства определение границ риска приобретает все более важное значение и требует совершенно иного менталитета и навыков, которые в большей степени присущи группам, занимающимся юридическим сопровождением и управлением операциями.
По мнению аналитиков Gartner, DRO придется упрощать процедурные вопросы, поскольку в настоящее время слишком много процессов в компаниях чересчур громоздки и требуют выполнения большого числа ручных операций.