I mere end 15 år har cybersikkerhedsindustrien talt om at kommunikere med bestyrelse. Det er almindelig praksis for leverandører at have e-bøger, webinarer og præsentationer om, hvordan og hvad Chief Information Security Officer (CISO'er) skal præsentere for deres bestyrelser - når de får chancen.
Sammen med manglende muligheder kan CISO'er have angst for at præsentere for bestyrelsen, fordi de er de eneste ledere på C-niveau uden deres eget værktøj til at måle ROI. Fra Salesforce til Workday til Marketo har C-suite-ledere platformløsninger, der samler, analyserer og rapporterer om alle aspekter af driften. Der findes ikke en sådan løsning for CISO, hvilket gør det sværere at måle sikkerhedsprogrammets ROI eller at demonstrere forretningsværdi.
Det ironiske er, at trods al interessen i at præsentere dem for dem, er det en underdrivelse at sige, at cybersikkerhed ikke er en kernekompetence i bestyrelsen. WSJ Pro Cybersikkerhedsforskning undersøgte den faglige baggrund for alle S&P 500 bestyrelsesmedlemmer og fandt ud af, at mindre end 2 % "havde relevant professionel erfaring inden for cybersikkerhed i de sidste 10 år."
Uanset hvem du er, er det svært at have stor interesse for noget, du ikke forstår. Det vil sige, indtil du er motiveret til at lære. Det, vi har foran os nu, er en stor opvågning for bestyrelser og cybersikkerhed, takket være Securities and Exchange Commission (SEC).
Ifølge Harvard Business Review, "en foreslået SEC-regel vil kræve, at virksomheder oplyser deres cybersikkerhedsstyringskapaciteter, herunder bestyrelsens tilsyn med cyberrisiko, en beskrivelse af ledelsens rolle i vurdering og styring af cyberrisici, den relevante ekspertise i en sådan ledelse og ledelsens rolle i implementeringen af virksomhedens cybersikkerhedspolitikker, procedurer og strategier."
Jeg forventer, at flere bestyrelser leder efter erfarne ledere med en baggrund inden for cybersikkerhed, lige nu. Hvad betyder det i mellemtiden for CISO'er?
En stor mulighed
Med en pludselig interesse for cybersikkerhed, men lidt viden om det, kan det, bestyrelsesmedlemmerne ønsker at vide i forhold til, hvad de har brug for at vide, være helt anderledes. For eksempel at fokusere for meget på det seneste angreb i overskrifterne eller fokusere for meget på compliance. Ligesom at lære på prøve, kan opnåelse af compliance være et godt skridt i den rigtige retning, men det er ikke altid det samme som at stræbe efter at implementere de bedst mulige sikkerhedsforanstaltninger. Når opnåelse af overholdelse bliver sikkerhedsmålet i stedet for at minimere risikoen og beskytte de mest kritiske aktiver, har vi misset pointen.
Hvilken mulighed for CISO'et til at skabe en "cybersikkerhed som en forretningsmuliggører"-fortælling for deres organisation. Din plads i bestyrelseslokalet er nu sikret. I stedet for den lejlighedsvise engangsopdatering er du nu løbende en del af forretningssamtalen. Dette er en mulighed for at placere cybersikkerhed i sammenhæng med forretningsbeslutninger, som bestyrelsen forstår. Undgå akronymer og teknisk snak om trusler, sårbarheder og angreb. Vær flydende i forretningssproget og tal om cyberkonsekvenserne af forretningsbeslutninger, der træffes hver dag.
Brugen af SaaS-apps, der gør medarbejderne mere produktive i et hybridt arbejdsmiljø, efterlader også organisationen mere risikoudsat, da kritiske forretningsdata nu er under kontrol af en tredjepart. Forretningspartnerskaber, der driver geografisk ekspansion, haster med nye apps på markedet så hurtigt som muligt for at erobre markedsandele, eller erhverver for at skalere ingeniørteamet, har alt sammen enorme cybersikkerhedskonsekvenser. Når du for eksempel opkøber en virksomhed, arver du også dens angrebsflade. Det er ikke kun en ny gruppe medarbejdere, der har brug for adgang til virksomhedens ressourcer, men alle deres entreprenører, partnere, leverandører og så videre. Det er et sammenfiltret, udvidet digitalt net af forbundne aktiver og implikationer.
Sikkerhedsledere ville være klogt i at gøre cybersikkerhed håndgribelig i en forretningssammenhæng. Som enhver anden del af virksomheden er der beslutninger, der skal træffes og afvejninger, der skal overvejes, alt sammen relateret til, hvad der er det acceptable niveau af risiko, som organisationen er villig til at udsætte sig selv for.
Automatisering og evidens
Under SEC's øjne har bestyrelsen brug for bevis for, hvilke aktiver den er ansvarlig for, og hvordan den overvåges og beskyttes proaktivt. I tilfælde af et brud, hvornår vidste bestyrelsen om det, og hvor hurtigt reagerede det og afslørede hændelsen?
Det starter med at vide, hvad du beskytter, og hvordan du gør det. Opdagelse af kritiske aktiver bliver en kernekompetence, der understøtter synlighed, klassificering og afhjælpning i et moderne cybersikkerhedsprogram. Opdagelse og klassificering skal automatiseres for at håndtere størrelsen, bevægelsen og væksten af data og virksomhedsforbundne aktiver på tværs af hybridskyer, SaaS-partnere og digitale forsyningskæder. Beskyttelse starter med fuldstændig synlighed af denne vidtstrakte angrebsflade, inklusive enhver afhængighed, forbindelse og sårbarhed på tværs af alle offentlige aktiver. Derfra kan du prioritere beskyttelse mod de mest kritiske trusler mod dine mest værdifulde aktiver.
Automatiseret opdagelse kan også identificere aktiver, der er sovende, ubrugte og unødvendige. På den måde kan de effektivt nedlægges for at reducere cyber-risiko og angribe overfladespredning på samme tid.
Konklusion
Nu er det ikke tid til at oplyse bestyrelsen om forskellen mellem malware og ransomware. Det handler om at tegne et komplet billede af trusselslandskabet og de specifikke risici og eksponeringer, som organisationen står over for. CISO'er bør tale om det overordnede sikkerhedsprogram og strategiske initiativer for at aktivere forretningen og samtidig måle og reducere risiko.
Hjælp bestyrelsen med at forstå, hvor virksomheden er sårbar, hvor kontrollerne slutter, og hvor eksponeringen begynder. Hvad er konsekvenserne og beskyttelsesmulighederne? I sidste ende er cybersikkerhed en forretningsudfordring, som voksende marginer og markedsandele. Strategiske prioriteter og investeringer tilpasset forretningsmål. Lyder så simpelt.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
- Kilde: https://www.darkreading.com/risk/the-board-of-directors-will-see-you-now
- :er
- ][s
- 10
- 15 år
- 2%
- a
- Om
- om det
- acceptabel
- adgang
- opnå
- erhverve
- erhverve
- tværs
- mod
- aggregere
- justeret
- Alle
- altid
- analysere
- ,
- Angst
- apps
- ER
- AS
- udseende
- Vurdering
- Aktiver
- At
- angribe
- Angreb
- Automatiseret
- baggrund
- grundlag
- BE
- fordi
- bliver
- være
- BEDSTE
- mellem
- board
- bestyrelse
- brud
- virksomhed
- C-suite
- CAN
- kapaciteter
- fange
- kæder
- udfordre
- chance
- chef
- CISO
- klassificering
- Kommissionen
- Fælles
- kommunikere
- Virksomheder
- selskab
- fuldføre
- Compliance
- tilsluttet
- tilslutning
- Konsekvenser
- Overvej
- sammenhæng
- entreprenører
- kontrol
- kontrol
- Samtale
- Core
- skabe
- kritisk
- Cyber
- Cybersecurity
- data
- dag
- deal
- afgørelser
- demonstrere
- Afhængighed
- beskrivelse
- Trods
- DID
- forskel
- forskellige
- svært
- digital
- retning
- direktører
- offentliggøre
- opdagelse
- gør
- køre
- uddanne
- effektivt
- indsats
- medarbejdere
- muliggøre
- Engineering
- Enterprise
- Miljø
- begivenhed
- Hver
- hver dag
- bevismateriale
- eksempel
- udveksling
- ledere
- udvidelse
- forvente
- erfaring
- erfarne
- ekspertise
- udsat
- Eksponering
- Øjne
- vender
- FAST
- fokusering
- Til
- fundet
- fra
- forsiden
- geografiske
- få
- mål
- godt
- regeringsførelse
- stor
- gruppe
- Dyrkning
- Vækst
- Have
- Overskrifter
- Hvordan
- HTTPS
- Hybrid
- Hybridarbejde
- identificere
- gennemføre
- gennemføre
- implikationer
- in
- hændelse
- Herunder
- industrien
- oplysninger
- informationssikkerhed
- initiativer
- i stedet
- interesse
- Investeringer
- IT
- ITS
- selv
- jpg
- Kend
- Kendskab til
- viden
- Mangel
- landskab
- Sprog
- Efternavn
- seneste
- ledere
- LÆR
- Niveau
- ligesom
- lidt
- leder
- lavet
- lave
- Making
- malware
- ledelse
- styring
- marginer
- Marked
- Matter
- mellemtiden
- måle
- foranstaltninger
- måling
- Medlemmer
- måske
- minimering
- Moderne
- overvåges
- mere
- mest
- motiveret
- bevægelse
- FORTÆLLING
- Behov
- behov
- Ny
- målsætninger
- lejlighedsvis
- of
- officerer
- on
- igangværende
- drift
- Opportunity
- Indstillinger
- organisation
- Andet
- samlet
- Tilsyn
- egen
- del
- partnere
- partnerskaber
- part
- billede
- Place
- perron
- plato
- Platon Data Intelligence
- PlatoData
- Punkt
- politikker
- mulig
- praksis
- præsentere
- Præsentationer
- Prioriter
- om
- procedurer
- produktiv
- professionel
- Program
- foreslog
- beskyttet
- beskyttelse
- beskyttelse
- ransomware
- RE
- reducere
- reducere
- relaterede
- relevant
- Rapportering
- kræver
- Ressourcer
- Svar
- ansvarlige
- Risiko
- risici
- ROI
- roller
- Herske
- s
- S & P
- S & P 500
- SaaS
- salgsstyrke
- samme
- Scale
- SEK
- Sikret
- Værdipapirer
- Securities and Exchange Commission
- sikkerhed
- Del
- bør
- Simpelt
- Størrelse
- So
- løsninger
- Løsninger
- noget
- specifikke
- Starter
- starter
- Trin
- Strategisk
- strategier
- sådan
- pludselige
- leverandører
- forsyne
- Forsyningskæder
- overflade
- Tal
- taler
- Undervisning
- hold
- Teknisk
- prøve
- at
- deres
- Them
- Tredje
- trussel
- trusler
- tid
- til
- også
- værktøj
- enorm
- forstå
- forstår
- ubrugt
- Opdatering
- us
- brug
- Værdifuld
- værdi
- Ve
- leverandører
- versus
- synlighed
- Sårbarheder
- sårbarhed
- Sårbar
- Vej..
- web
- Webinarer
- GODT
- Hvad
- Hvad er
- mens
- WHO
- vilje
- villig
- med
- uden
- Arbejde
- arbejdsdagen
- ville
- WSJ
- år
- Du
- Din
- zephyrnet
