Dostosowanie strategii bezpieczeństwa do celów ESG: Następny ważny problem dla CISO

W miarę wzrostu zainteresowania inwestorów, partnerów biznesowych, konsumentów i pracowników kwestiami środowiskowymi, społecznymi i zarządzania, CISO będą musieli kształtować swoje strategie bezpieczeństwa i ryzyka w taki sposób, aby były one zgodne z celami ESG organizacji. Jest to kolejny krok w rozwoju roli CISO.

Dostosowanie strategii bezpieczeństwa do celów ESG: Następny ważny problem dla CISO

Carl Heyerdahl/Unsplash

Matthew Miller, dyrektor w dziale Cyber Services w KPMG, otrzymał w zeszłym roku jedyną w swoim rodzaju prośbę od CISO klienta: CISO poprosił o radę, jak odpowiedzieć na pytanie członka zarządu dotyczące jego poglądów na temat ESG i tego, czy się na tym koncentruje. Był to pierwszy taki przypadek również dla CISO, mówi Miller, który wkrótce zdał sobie sprawę, że ten CISO był jednym z niewielkiej, ale rosnącej liczby liderów bezpieczeństwa, którzy angażują się w prace ESG w swoich organizacjach.

ESG odnosi się do polityki i działań firmy w zakresie kwestii środowiskowych, społecznych i zarządzania. Zainteresowanie ESG było kiedyś ograniczone do inwestorów decydujących o tym, gdzie ulokować swoje pieniądze. W tych wcześniejszych dniach zainteresowania ESG, inwestorzy zazwyczaj postrzegali ESG przez pryzmat oceny, badając działania spółki w poszczególnych obszarach, aby określić, czy mogą one pomóc czy przeszkodzić w osiągnięciu potencjalnych przyszłych zysków. Jednak z biegiem lat zainteresowanie ESG wzrosło. Inwestorzy nadal biorą pod uwagę wpływ działań spółki w zakresie kwestii środowiskowych, społecznych i zarządzania na zyski. Jednak obecnie niektórzy z nich oceniają również politykę ESG danej organizacji, aby ustalić, czy jest ona zgodna z własnymi zasadami inwestorów w tej dziedzinie. Niektóre firmy oceniają również inne firmy - takie jak partnerzy biznesowi i dostawcy, a także cele przejęć - na podstawie wskaźników ESG.

Zobacz również:

Zainteresowanie ESG przeniosło się nawet na ogół społeczeństwa. Konsumenci coraz częściej zwracają uwagę na politykę ESG organizacji przy podejmowaniu decyzji, gdzie wydać swoje pieniądze, a pracownicy myślą o tym przy podejmowaniu decyzji o wyborze miejsca pracy.

Trochę liczb

Statystyki potwierdzają wysoki poziom uwagi ze strony różnych interesariuszy. Według badania 2021 „Global Investor ESG Survey” przeprowadzonego przez firmę PwC, 79% ankietowanych inwestorów uznało sposób, w jaki firma zarządza ryzykiem i możliwościami ESG, za ważny czynnik przy podejmowaniu decyzji inwestycyjnych. Z kolei z badania „PwC Consumer Intelligence Series 2021” dotyczącego ESG wynika, że 83% konsumentów twierdzi, że firmy powinny aktywnie kształtować najlepsze praktyki ESG, a 86% pracowników woli pracować dla firm, które troszczą się o te same kwestie, co oni.

Wszystko to ma wpływ na pracę dyrektora ds. bezpieczeństwa informacji, o czym może zaświadczyć Miller: W związku z rosnącym zainteresowaniem ESG, rola CISO jeszcze bardziej się zwiększy. Będą oni musieli kształtować swoje strategie bezpieczeństwa i ryzyka tak, aby były one zgodne z celami zarządzania organizacją. Będą musieli przedstawić interesariuszom, w jaki sposób ich strategie wspierają cele ESG. Będą też musieli pomóc swoim organizacjom w ocenie zarządzania stanowiskami ESG innych firm, jeśli zajdzie taka potrzeba. „Zarządzanie i bezpieczeństwo cybernetyczne to ważne tematy w sali posiedzeń zarządu” - mówi Shane Goodwin, prodziekan ds. edukacji wykonawczej i programów studiów podyplomowych oraz profesor praktyki na Wydziale Finansów w Cox School of Business na Southern Methodist University.

Rozwój roli CISO

Dodanie obowiązków ESG do roli CISO jest częścią ciągłej ewolucji samego stanowiska, według Goodwina, doradców wykonawczych i ekspertów ds. bezpieczeństwa korporacyjnego. Zarówno zarządy, jak i dyrektorzy zarządzający włączają szefów bezpieczeństwa do rozmów na temat strategii ryzyka korporacyjnego w większym stopniu niż w przeszłości; jest to związane z trwającą zmianą z cyberbezpieczeństwa jako funkcji back-office na cyberbezpieczeństwo jako strategiczny czynnik wspomagający. „To tylko kolejna iteracja roli CISO i kolejna rzecz do dodania do naszej listy” - mówi Brennan P. Baybeck, wiceprezes i CISO działu Customer Services w Oracle Corp. i członek zarządu stowarzyszenia ISACA. Baybeck twierdzi, że na poprzednim stanowisku CISO oceniał programy zarządzania w firmach, które miały zostać przejęte. Takie obowiązki odzwierciedlają znaczenie cyberbezpieczeństwa w dzisiejszych czasach, znaczenie CISO oraz rosnącą liczbę interesariuszy, którzy dbają o bezpieczeństwo, prywatność danych, zgodność z przepisami i inne powiązane kwestie. „Rozmowy na temat zarządzania i ESG odbywają się z udziałem CISO, ponieważ nikt nie chce inwestować w firmę, w której dojdzie do poważnego naruszenia bezpieczeństwa lub incydentu. Nie chcesz też partnera [korporacyjnego], który nie jest tak dobrze przygotowany, jak powinien być” - mówi Ahmed Jamil, lider praktyki CISO w Russell Reynolds Associates. „I nawet jeśli niektóre z tych rozmów, które mają miejsce, nie są prowadzone pod auspicjami ESG, te same rodzaje pytań zadawane są CISO”. Jamil widzi podstawową rolę CISO w ESG w artykułowaniu dla C-suite i zarządu własnej postawy firmy w zakresie cyberbezpieczeństwa, strategii poprawy i jej możliwości w zakresie odporności, a także tego, jak to wszystko jest zarządzane i jak współgra z innymi zasadami, politykami i kontrolami w ramach ładu korporacyjnego. „CISO są proszeni o wykazanie, że posiadają dojrzałe procedury zarządzania incydentami cybernetycznymi, jak również ryzykiem utraty reputacji dla nich samych, klientów i partnerów. To nic nowego, ale w obliczu zainteresowania ESG wysuwa się to na pierwszy plan” - mówi Miller. I dodaje „W ciągu ostatnich 20 lat CISO zbudowali zdolność do rozumienia ryzyka, raportowania o nim, tworzenia przejrzystości i rozmawiania o ryzyku z zarządem. W przypadku ESG chodzi o konsumentów i inwestorów, którzy myślą o przejrzystości ryzyka. To właśnie tam istnieje możliwość dla CISO, aby rozpocząć ten dialog na temat zaufania”.

Budowanie zaufania klientów

Miller podaje hipotetyczny przykład: CISO w sklepie detalicznym jest dobrze przygotowany do tego, aby być tym, który wdroży, a następnie podkreśli, w jaki sposób systemy bezpieczeństwa mogą chronić przed oszustwami związanymi z kartami kredytowymi, jednocześnie eliminując liczbę niepotrzebnych odmownych transakcji i jednocześnie budując zaufanie klientów. Taki CISO mógłby dostarczyć systemy, które w momencie, gdy karta klienta zostanie oznaczona jako potencjalnie oszukańcza w punkcie sprzedaży, wysyłałby SMS do właściciela karty kredytowej z prośbą o potwierdzenie sprzedaży. Jeśli właścicielem karty jest klient, unika on frustracji związanej z odmową sprzedaży, dostaje to, czego chce i czuje się dobrze chroniony przez sklep - a wszystko to w tym samym czasie. Jeśli właściciel karty nie jest klientem, widzi on, że sklep go chroni.

Ten jeden przykład pokazuje, że od dzisiejszego CISO oczekuje się pracy nad różnymi aspektami, które wchodzą w zakres zarządzania - wykrywanie nadużyć, prywatność danych, umożliwienie prowadzenia działalności, zaangażowanie klientów i zaufanie. Od CISO oczekuje się nie tylko dostarczenia możliwości technicznych, ale również zrozumienia i przedstawienia ryzyka związanego z brakami oraz sposobu, w jaki wszystkie elementy spełniają oczekiwania interesariuszy. Jednak wielu CISO jeszcze nie osiągnęło tego celu.

Według Millera i innych ekspertów, CISO, którzy są zaangażowani w wymagania ESG dla swoich organizacji, to ci, którzy mają dojrzałe praktyki bezpieczeństwa. Są to CISO, którzy już przedstawiają informacje swoim zarządom i pokazują, w jaki sposób ich praktyki bezpieczeństwa pasują do ładu korporacyjnego, tak aby członkowie zarządu mogli następnie podzielić się tą wiedzą z inwestorami i innymi zainteresowanymi stronami. Jak zauważa Shane: „Firmy o dobrym zarządzaniu upewniają się, że CISO ma bezpośredni dostęp do zarządu, a CEO lub CIO nie działa jako filtr”.

Definiowanie nowych standardów

Wiele osób spodziewa się, że wymagania ESG wzrosną w nadchodzących latach, a CISO wezmą na siebie większą odpowiedzialność w tym obszarze. „Myślę, że w końcu zobaczymy zasady i regulacje, które zmuszą CISO oraz osoby odpowiedzialne za cyberbezpieczeństwo i ryzyko do posiadania zrównoważonej metody rzeczywistego zrozumienia ESG w odniesieniu do cyberbezpieczeństwa” - dodaje Miller.

W swoim raporcie z 2021 roku, „Cyberbezpieczeństwo: Don't report on ESG without it”, KPMG stwierdza, że mandaty do raportowania ESG „nasilają się we wszystkich branżach” oraz że istnieje rosnące zapotrzebowanie na przejrzystość i zaufanie do sposobu, w jaki firmy zarządzają, wykorzystują i chronią dane ludzi. Dodatkowo, autorzy raportu KPMG zauważają, że korporacyjne polityki cybernetyczne, zgodności i ryzyka również współgrają ze społecznymi i środowiskowymi aspektami ESG - fakt ten jeszcze bardziej zwiększa potrzebę zaangażowania CISO w działania ESG.

Goodwin oczekuje, że takie zadania ESG - zarówno dla firm, jak i dla CISO - będą coraz częstsze i ważniejsze. „To nie jest epizodyczne. To zmiana paradygmatu” - mówi Goodwin, który jest również doradcą zarządu w National Association of Corporate Directors i liderem The Applied Corporate Governance Institute w The Center for Global Enterprise, bezpartyjnej instytucji badawczej typu non-profit.

Mimo to, on i inni twierdzą, że firmy i ich CISO są na początku tej zmiany. Tak więc, podczas gdy wszyscy CISO są oczywiście odpowiedzialni za bezpieczeństwo, tylko mniejszość z nich współpracuje z zarządami i innymi osobami w C-suite w zakresie zadań ESG.

To sprawia, że wydają się oni być wyjątkami; w rzeczywistości jednak to oni wyznaczają tempo. „Nie sądzę, że są to wyjątki, oni są liderami” - mówi Baybeck, zauważając, że „to bardziej postępowi CISO są aktywnie zaangażowani w identyfikację ryzyka i programy zarządzania ryzykiem w przedsiębiorstwie. To właśnie oni pomogą zdefiniować, jak to będzie wyglądać. Ci CISO pomagają zdefiniować nowe standardy”.

Źródło: CSO

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200