Бордовете на директорите все още не знаят много за киберсигурността

Малко директори в бордовете на най-известните листнати в САЩ компании имат пряк опит с киберсигурността, което представлява предизвикателство за начина, по който ръководителите се справят с кибератаки, пише Wall Street Journal.

Анализ на състава на бордовете на компаниите в индекса S&P 500 установи, че 88% от тях нямат експерт по киберсигурност за свой директор. Само седем компании са имали настоящ или бивш главен директор по информационна сигурност в борда си, показва проучването.

„Тази липса на инерция в заседателната зала продължава да ме стряска“, коментира Дейв Деуолт, основател и главен изпълнителен директор на фирмата за рисков капитал NightDragon, който също така е член на бордовете на Delta Air Lines и на софтуерната Five9. NightDragon и Deligent Institute, изследователска компания и звено на софтуерния разработчик Diligent, са провели проучването, публикувано по-рано миналата седмица.

Киберекспертизата е широко дефинирана и обхваща хора, които в момента работят или са работили в ролята на главни директори по информационна сигурност, тези, които са заемали висши технологични позиции, но не непременно киберроли, и тези, които са имали технологичен опит, без да са заемали високи позиции.

Около 52% от компаниите са имали в борда си човек с известен технологичен опит, свързан с кибрсигурността. Това включва хора, които участват в бордовете на киберкомпании или имат връзка с професионална организация, свързана с киберсигурността.

Разбирането на киберсигурността от борда сега е от решаващо значение за доброто управление, твърди Емили Хийт, генерален партньор в компанията за рисков капитал Cyberstarts. Хийт, която е бивш директор по сигурността в United Airlines и в доставчика на технологични решения DocuSign, сега е част от бордовете на директорите на Wiz и Gen Digital.

В рамките на надзорните си роли директорите са отговорни за гарантиране на правилното управление на рисковете, включително киберриска, посочва Хийт. „Трябва да имате тези познания за киберсигурността и опит, за да знаете какви въпроси да зададете“, допълва тя.

Резултатите от проучването на Diligent и NightDragon до голяма степен отразяват подобно изследване, проведено от The Wall Street Journal през ноември 2022 г. То установи, че само 86 от 4621 директори в бордовете на компаниите от S&P 500 имат подходящ опит в киберсигурността през последните 10 години.

Предложени от Комисията за ценните книжа и фондовите борси на САЩ правила щяха да изискват компаниите да разкриват кои членове на бордовете им имат опит в киберсигурността, но тази разпоредба в крайна сметка беше премахната при финализирането на правилата, които влязоха в сила на 5 септември.

Директорите казват, че често е трудно да се намерят подходящите кандидати за позиция на ниво борд. Киберсигурността е силно техническа област, в която мениджърите едва наскоро са издигнати до най-висшите ръководни позиции. Работата в борда изисква богат бизнес опит, който липсва на много шефове по сигурността, споделя Мирна Сото, основател и главен изпълнителен директор на консултантската фирма Apogee Executive Advisors.

Сото, която е и директор на Spirit Airlines, на банковата група Popular, както и на администратора на заплати и обезщетения TriNet Group, посочва, че бордовете обикновено обсъждат въпроси за киберсигурността в ограничен период от време в рамките на срещите си. Други въпроси изискват тяхното внимание и всеки киберексперт трябва да може да оправдае мястото си, допринасяйки и в другите дискусии.

„Изключително важно е кандидатите, които ще бъдат в списъка, за да внесат този тип опит в заседателната зала, да са много добре оформени бизнес директори“, казва тя.

Решаването на тези проблеми ще изисква усилия от бордовете и специалистите по киберсигурност, споделя Деуолт от NightDragon. Директорите по сигурността трябва да разширят цялостните си познания за бизнеса, компаниите трябва да издигнат ролята на главния директор по информационната сигурност до позиция от най-високо ниво, а бордовете трябва да станат по-добре образовани по въпросите на киберсигурността.

„Наистина искам да видя изискване за непрекъснато обучение по киберграмотност в заседателната зала“, посочва той.