6 trin til at få styr på dit cybersikkerhedsprogram

Genudgivet af Platon

Abonnenter: 0

Forretningssikkerhed

Hvordan CISO'er og deres ligestillede bedre kan engagere sig med bestyrelser for at få langsigtet buy-in til strategiske initiativer

Phil Muncaster

Oktober 11 2023 • , 4 min. Læs

6 trin til at få bestyrelsen med på dit cybersikkerhedsprogram

Opbygning af en mere sikker digital verden kræver handling på flere fronter. Initiativer som Cybersikkerhedsbevidsthedsmåned (CSAM) er gode muligheder for at minde offentligheden om vigtig bedste praksis forum adgangskodeadministration, patching af sårbarhed og mere. Men selvom dette kan være med til at gøre livet hårdere for cyberkriminelle rettet mod forbrugere, er det stadig en mulighed for at gøre virksomhedsledere opmærksomme på cyberrisici.

I USA, der var en stigning på 114 % kvartalsvis i offentligt rapporterede databrud i 2. kvartal 2023, hvilket satte året på sporet til endnu en rekord. I Europa, EU's sikkerhedsagentur ENISA advarede i 2022 af en stigning i zero-day exploits, ransomware-as-a-service, hackere-til-udlejning, forsyningskædeangreb og social engineering. At få styr på dette er i sidste ende CISO's opgave. Men for at den rolle skal være effektiv, har den brug for den rette støtte fra bestyrelsen. Det er derfor, det er så vigtigt at få engagement og buy-in til projekter.

Mod IT-tavlejustering

Der har ofte været noget af en afbrydelse mellem virksomhedsledelse og dem, der har ansvaret for it- og cyberstrategi. Stort set er opfattelsen af sikkerhed, at det er nødvendigt at holde cybertrusler på afstand, men ikke meget mere end det. Det vil sige, at mange bestyrelser måske stadig ser it og cybersikkerhed som en nødvendig omkostning, men ikke en indtægtsbidragyder – og bestemt ikke en forretningsmuligator.

Slutresultatet er, at selvom Gartner forudsiger globale udgifter til sikkerhed og risikostyring til at vokse med mere end 11 % i 2023, til 188 mia. USD, er det måske ikke nødvendigvis brugt fornuftigt. Uengagerede bestyrelser har en tendens til at frigøre budget på en stykkevis og reaktiv måde, såsom efter et brud. Det kan føre til dårlige resultater og en ophobning af pointløsninger, som i sidste ende viser sig at have dårlig værdi for pengene.

I virkeligheden, ifølge en undersøgelse, mener kun to femtedele (39%) af sikkerhedsbeslutningstagere, at deres virksomhedsledelse virkelig forstår den rolle, cybersikkerhed spiller i forretningssucces. En tilsvarende andel (36%) hævder, at sikkerheden kun ses gennem linsen af overholdelseskrav. Så hvordan kan CISO'er og deres ligestillede bedre engagere sig med bestyrelser for at få langsigtet buy-in til strategiske initiativer?

Her er seks forslag:

Tal det rigtige sprog

Det første skridt i retning af bedre cyber-business-tilpasning skal forstås. Det betyder, at man taler et sprog, ikke af bits og bytes og komplekse teknologiske detaljer, men om forretningsrisici. Det vil gøre det lettere at engagere bestyrelsesledere og få buy-in til et specifikt strategisk initiativ. Fortæl dem, at et ransomware-angreb kan tage 200 servere offline, og at de måske tænker "hvad så?" Men forklar, at dette kan forårsage en uges nedetid til en pris på $400,000 i timen, og reaktionen vil være meget anderledes.

Mål risiko og gør den relevant

En del af samtalen på et sprog, som begge parter forstår, kommer ned til at dele data baseret på målinger, der oversætter cybersikkerhedsoplysninger til målinger, bestyrelsen og virksomheden interesserer sig for. Områder, der skal overvejes, er målinger, der viser ydeevnen og effektiviteten af eksisterende sikkerhedskontroller – for at illustrere, hvor tingene fungerer godt, og områder, der skal forbedres. Sporing af disse over tid vil tilføje yderligere effekt, ligesom sammenligninger med industriens benchmarks.

Når du præsenterer disse for bestyrelsen, skal du holde tingene enkle og på højt niveau. Men vær ikke bange for at bruge anekdotiske historier fra virksomheden til at få en pointe med hjem.

Fremme sikkerhed ved design og standard

Ifølge World Economic Forum (WEF), 43% af virksomhedslederne mener, at det er sandsynligt, at et cyberangreb vil "påvirke væsentligt" deres organisation i de næste to år. Selvom det er positivt, at de værdsætter alvoren af cyberrisiko, afspejler det også en tankegang i bestyrelsen, der i stigende grad fokuserer på at kanalisere ressourcer til daglige snarere end strategiske investeringer.

CISO er nødt til at overtale deres jævnaldrende ved topbordet til at se mere strategisk på cybersikkerhed, og at de ved at gøre det vil få bedre resultater. Sikkerhed ved design og standard er den bedste praksis, der fremmes af GDPR-regulatorer og andre. Det betyder, at sikkerhedsovervejelser skal indbygges i nye forretningsinitiativer eller produkter lige fra starten, i stedet for at blive mærket til sidst eller – endnu værre – efter en hændelse.

Mødes oftere

Over halvdelen (56%) af CISO'er mødes nu månedligt eller oftere med deres bestyrelse, ifølge WEF. Dette er et stort skridt i retning af at få board buy-in for sikkerhed, især i betragtning af den hastighed, hvormed trusselslandskabet udvikler sig. Der skal dog gøres mere for at fremme gensidig forståelse. En måde er at sikre, at CISO rapporterer direkte til den administrerende direktør – og dermed sikre, at sidstnævnte får mere eksponering for cybersikkerhed, og at sikkerhedsledelse får mere direkte feedback fra virksomheden.

Formaliser cybersikkerhedsprogrammer

For mange cybersikkerhedsprogrammer er ad hoc og teknisk fokuserede. I stedet bør de dokumenteres ordentligt, måles i forhold til relevante KPI'er og målinger og formaliseres i en top-down struktur. Dette vil bidrage til at cementere cybersikkerhedens rolle i virksomheden.

Lej nogle BISO'er

Business Information Security Officer (BISO) er en specifik afdelings- eller forretningsenhedsrolle, der er ansvarlig for kontakten til både virksomheden og sikkerhedsteamet. På den måde hjælper de med at omsætte strategi på højt niveau til praktiske operationelle trin. Således kan de skabe den security-by-design-kultur, som enhver organisation bør stræbe efter, og dermed bevise over for skeptiske bestyrelser, at sikkerhed bør indlejres i alle dele af virksomheden.

Konklusion

Ifølge WEF har nylig geopolitisk ustabilitet været med til at bringe CISO's og bestyrelsens synspunkter om vigtigheden af cyber-risikostyring tættere på hinanden. I dag mener 91 % af dette kombinerede samfund, at en vidtrækkende, katastrofal cyberbegivenhed er noget sandsynligt i de næste to år. Men der er et stykke vej endnu. For mange organisationer vil det være måneders eller endda årevis at få det så vigtige bestyrelsesengagement og buy-in. Og vigtigst af alt kan det kræve et mindsetskifte, ikke kun fra virksomhedsledere, men også CISO'er.

SEO Powered Content & PR Distribution. Bliv forstærket i dag.
PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
Kilde: https://www.welivesecurity.com/en/business-security/6-steps-getting-board-on-board-cybersecurity-program/

Tidsstempel: Oktober 11, 2023

Tidsstempel: Februar 15, 2024

Genudgivet af Platon

Instagrams nye aldersbekræftelsesværktøj – Uge i sikkerhed med Tony Anscombe

At trykke på eller ikke at trykke: Er NFC-betalinger sikrere?

Costco 40-års jubilæumssvindel retter sig mod WhatsApp-brugere

Quantum computing: Vil det bryde kryptosikkerheden inden for et par år?

Cybersikkerhed: Et globalt problem, der kræver et globalt svar

Hvad er AI? Ulåst 403 | Cybersikkerhed podcast

Om os

Vertikal søgning & Ai

perron

Stay Connected

Konto