Постоянный рост числа случаев утечки данных — прямой повод усилить контроль со стороны корпоративного руководства за деятельностью лиц, на которых возложена ответственность за обеспечение кибербезопасности. В связи с этим международная ассоциация ISACA (ранее это название было акронимом Information Systems Audit and Control Association, но ныне используется без расшифровки) сформулировала двенадцать вопросов, на которые должны ответить представители руководства компаний, их бизнес-персонал и руководители ИТ-подразделений, чтобы убедиться в том, что они контролируют все факторы, определяющие реакцию на инциденты и отражающиеся на непрерывности бизнеса, целостности и безопасности информации. Приведенные далее вопросы взяты из отчета ISACA «Киберустойчивое предприятие: вопросы для советов директоров» (The Cyber-Resilient Enterprise: What the Board of Directors Needs to Ask). По данным Ponemon Institute, среднее время обнаружения компаниями атак извне составляет 170 дней, а если в этом замешаны инсайдеры, то оно увеличивается до 259 дней. Поэтому, считают в ISACA, изолированные подходы к безопасности уже непригодны, и для улучшения защиты информационных ресурсов необходимо использовать более целостные и проактивные стратегии. Организациям, говорится в отчете, надо увязать защиту и восстановление данных с миссией и задачами предприятия, реализуя интегрированные программы с целью обеспечения жизнеустойчивости основных сервисов. Руководству следует оценивать операционные риски, внутренне присущие цифровому бизнесу, и выстраивать управление таким образом, чтобы предприятие было не просто защищено, а имело запас прочности. Ответив на предложенные вопросы, руководители компаний смогут понять, могут ли они рассчитывать на то, что ключевые операции будут осуществляться беспроблемно даже в случае атак и что используемые ими бизнес-технологии не влекут за собой потенциально разрушительные риски.
