Seit mehr als 15 Jahren spricht die Cybersicherheitsbranche über die Kommunikation mit dem Vorstand. Es ist üblich, dass Anbieter E-Books, Webinare und Präsentationen darüber veranstalten, wie und was Chief Information Security Officers (CISOs) ihren Vorständen präsentieren sollten – wenn sie die Möglichkeit dazu haben.
Zusammen mit dem Mangel an Möglichkeiten haben CISOs möglicherweise Angst, sich vor dem Vorstand zu präsentieren, weil sie die einzigen Führungskräfte auf C-Ebene sind, die kein eigenes Tool dafür haben ROI messen. Von Salesforce über Workday bis hin zu Marketo verfügen C-Suite-Führungskräfte über Plattformlösungen, die jeden Aspekt des Betriebs aggregieren, analysieren und Berichte dazu erstellen. Für den CISO gibt es keine solche Lösung, was es schwieriger macht, den ROI des Sicherheitsprogramms zu messen oder den Geschäftswert nachzuweisen.
Die Ironie dabei ist, dass es bei allem Interesse, sich ihnen zu präsentieren, eine Untertreibung ist, zu sagen, dass Cybersicherheit keine Kernkompetenz des Vorstands ist. WSJ Pro Cybersicherheitsforschung untersuchte den beruflichen Hintergrund aller Vorstandsmitglieder des S&P 500 und stellte fest, dass weniger als 2 % „in den letzten 10 Jahren relevante Berufserfahrung im Bereich Cybersicherheit hatten“.
Egal wer Sie sind, es ist schwierig, großes Interesse an etwas zu haben, das Sie nicht verstehen. Das heißt, bis Sie zum Lernen motiviert sind. Was wir jetzt vor uns haben, ist ein großes Erwachen für Vorstände und Cybersicherheit, mit freundlicher Genehmigung der Securities and Exchange Commission (SEC).
Laut (Harvard Business Review), „wird eine vorgeschlagene SEC-Vorschrift von Unternehmen verlangen, ihre Cybersicherheits-Governance-Fähigkeiten offenzulegen, einschließlich der Aufsicht des Vorstands über Cyber-Risiken, einer Beschreibung der Rolle des Managements bei der Bewertung und Verwaltung von Cyber-Risiken, der relevanten Expertise dieses Managements und der Rolle des Managements bei der Umsetzung der des Unternehmens Richtlinien, Verfahren und Strategien zur Cybersicherheit.“
Ich würde erwarten, dass ab sofort mehr Vorstände nach erfahrenen Führungskräften mit einem Hintergrund in Cybersicherheit suchen werden. Was bedeutet das in der Zwischenzeit für CISOs?
Eine gute Gelegenheit
Mit einem plötzlichen Interesse an Cybersicherheit, aber wenig Wissen darüber, kann es ganz anders sein, was die Vorstandsmitglieder wissen wollen und was sie wissen müssen. Zum Beispiel eine zu starke Konzentration auf den jüngsten Angriff in den Schlagzeilen oder eine zu starke Konzentration auf Compliance. Wie das Lehren auf die Probe, kann das Erreichen von Compliance ein guter Schritt in die richtige Richtung sein, ist aber nicht immer dasselbe wie das Streben nach der Implementierung der bestmöglichen Sicherheitsmaßnahmen. Wenn das Erreichen von Compliance zum Sicherheitsziel wird, anstatt Risiken zu minimieren und die kritischsten Ressourcen zu schützen, haben wir den Punkt verfehlt.
Was für eine Gelegenheit für den CISO, ein Narrativ „Cybersicherheit als Business Enabler“ für sein Unternehmen zu schaffen. Ihr Platz im Boardroom ist nun gesichert. Anstelle von gelegentlichen einmaligen Updates sind Sie jetzt kontinuierlich Teil des Geschäftsgesprächs. Dies ist eine Gelegenheit, Cybersicherheit in den Kontext von Geschäftsentscheidungen zu stellen, die der Vorstand versteht. Vergessen Sie Akronyme und technisches Gerede über Bedrohungen, Schwachstellen und Angriffe. Sprechen Sie die Geschäftssprache fließend und sprechen Sie über die Cyber-Folgen von Geschäftsentscheidungen, die täglich getroffen werden.
Die Verwendung von SaaS-Apps, die Mitarbeiter in einer hybriden Arbeitsumgebung produktiver machen, setzt das Unternehmen auch einem höheren Risiko aus, da kritische Geschäftsdaten jetzt die Kontrolle eines Dritten haben. Geschäftspartnerschaften, die die geografische Expansion vorantreiben, neue Apps so schnell wie möglich auf den Markt bringen, um Marktanteile zu gewinnen, oder das Engineering-Team skalieren, haben alle enorme Auswirkungen auf die Cybersicherheit. Wenn Sie beispielsweise ein Unternehmen erwerben, erben Sie auch dessen Angriffsfläche. Nicht nur eine neue Gruppe von Mitarbeitern benötigt Zugriff auf Unternehmensressourcen, sondern alle ihre Auftragnehmer, Partner, Lieferanten usw. Es ist ein verworrenes, ausgedehntes digitales Netz aus verbundenen Assets und Implikationen.
Sicherheitsverantwortliche tun gut daran, Cybersicherheit im Unternehmenskontext erlebbar zu machen. Wie in jedem anderen Teil des Geschäfts müssen Entscheidungen getroffen und Kompromisse in Betracht gezogen werden, die alle mit dem akzeptablen Risiko verbunden sind, dem sich die Organisation auszusetzen bereit ist.
Automatisierung und Nachweis
Unter den Augen der SEC benötigt der Vorstand Nachweise darüber, für welche Vermögenswerte er verantwortlich ist und wie sie überwacht und proaktiv geschützt werden. Wann wusste der Vorstand im Falle eines Verstoßes davon und wie schnell hat er reagiert und den Vorfall offengelegt?
Es beginnt damit, dass Sie wissen, was Sie schützen und wie Sie das tun. Die Erkennung kritischer Assets wird zu einer Kernkompetenz, die die Sichtbarkeit, Klassifizierung und Behebungsbemühungen in einem modernen Cybersicherheitsprogramm untermauert. Erkennung und Klassifizierung müssen automatisiert werden, um mit der Größe, Bewegung und dem Wachstum von Daten und mit Unternehmen verbundenen Assets über hybride Clouds, SaaS-Partner und digitale Lieferketten hinweg fertig zu werden. Der Schutz beginnt mit der vollständigen Sichtbarkeit dieser weitläufigen Angriffsfläche, einschließlich aller Abhängigkeiten, Verbindungen und Schwachstellen auf allen öffentlich zugänglichen Ressourcen. Von dort aus können Sie Schutzmaßnahmen gegen die kritischsten Bedrohungen für Ihre wertvollsten Ressourcen priorisieren.
Die automatisierte Erkennung kann auch Assets identifizieren, die inaktiv, ungenutzt und unnötig sind. Auf diese Weise können sie effektiv zur Reduzierung außer Betrieb genommen werden Cyber-Risiko und gleichzeitig die Ausbreitung der Oberfläche angreifen.
Zusammenfassung
Jetzt ist nicht die Zeit, den Vorstand über den Unterschied zwischen Malware und Ransomware aufzuklären. Es geht darum, ein vollständiges Bild der Bedrohungslandschaft und der spezifischen Risiken und Gefährdungen zu zeichnen, denen die Organisation ausgesetzt ist. CISOs sollten über das allgemeine Sicherheitsprogramm und strategische Initiativen sprechen, um das Geschäft zu unterstützen und gleichzeitig Risiken zu messen und zu reduzieren.
Helfen Sie dem Vorstand zu verstehen, wo das Unternehmen anfällig ist, wo die Kontrollen enden und wo die Gefährdung beginnt. Was sind die Folgen und Schutzmöglichkeiten? Letztendlich ist Cybersicherheit eine geschäftliche Herausforderung, ebenso wie wachsende Margen und Marktanteile. Strategische Prioritäten und Investitionen, die an den Geschäftszielen ausgerichtet sind. Klingt so einfach.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. Hier zugreifen.
- Quelle: https://www.darkreading.com/risk/the-board-of-directors-will-see-you-now
- :Ist
- ][P
- 10
- 15 Jahre
- 2%
- a
- Über uns
- darüber
- akzeptabel
- Zugang
- Erreichen
- erwerben
- Erwerb
- über
- gegen
- aggregierend
- ausgerichtet
- Alle
- immer
- Analyse
- und
- Angst & Sorgen
- Apps
- SIND
- AS
- Aussehen
- Beurteilung
- Details
- At
- Attacke
- Anschläge
- Automatisiert
- Hintergrund
- Grundlage
- BE
- weil
- wird
- Sein
- BESTE
- zwischen
- Tafel
- Vorstand
- Verletzung
- Geschäft
- C-Suite
- CAN
- Fähigkeiten
- Erfassung
- Ketten
- challenges
- Chance
- Chef
- KKV
- Einstufung
- Provision
- gemeinsam
- Kommunizieren
- Unternehmen
- Unternehmen
- abschließen
- Compliance
- Sie
- Verbindung
- Folgen
- Geht davon
- Kontext
- Bauunternehmen
- Smartgeräte App
- Steuerung
- Gespräch
- Kernbereich
- erstellen
- kritischem
- Cyber-
- Internet-Sicherheit
- technische Daten
- Tag
- Deal
- Entscheidungen
- zeigen
- Abhängigkeit
- Beschreibung
- Trotz
- DID
- Unterschied
- anders
- schwer
- digital
- Richtung
- Geschäftsführung
- Enthüllen
- Entdeckung
- Dabei
- Antrieb
- erziehen
- effektiv
- Bemühungen
- Mitarbeiter
- ermöglichen
- Entwicklung
- Unternehmen
- Arbeitsumfeld
- Event
- Jedes
- jeden Tag
- Beweis
- Beispiel
- Austausch-
- Führungskräfte
- Expansion
- erwarten
- ERFAHRUNGEN
- erfahrensten
- Expertise
- ausgesetzt
- Belichtung
- Augenfarbe
- zugewandt
- FAST
- Fokussierung
- Aussichten für
- gefunden
- für
- Materials des
- geographisch
- bekommen
- Kundenziele
- gut
- Governance
- groß
- Gruppe an
- persönlichem Wachstum
- Wachstum
- Haben
- Schlagzeilen
- Ultraschall
- HTTPS
- Hybrid
- Hybridarbeit
- identifizieren
- implementieren
- Umsetzung
- Auswirkungen
- in
- Zwischenfall
- Einschließlich
- Energiegewinnung
- Information
- Informationssicherheit
- Initiativen
- beantragen müssen
- Interesse
- Investments
- IT
- SEINE
- selbst
- jpg
- Wissen
- Wissend
- Wissen
- Mangel
- Landschaft
- Sprache
- Nachname
- neueste
- Führung
- LERNEN
- Niveau
- Gefällt mir
- wenig
- suchen
- gemacht
- um
- Making
- Malware
- Management
- flächendeckende Gesundheitsprogramme
- Margen
- Markt
- Materie
- inzwischen
- messen
- Maßnahmen
- Messen
- Mitglieder
- könnte
- minimieren
- modern
- überwacht
- mehr
- vor allem warme
- motiviert
- Bewegung
- NARRATIVE
- Need
- Bedürfnisse
- Neu
- gelegentlich
- of
- Offiziere
- on
- laufend
- Betrieb
- Gelegenheit
- Optionen
- Organisation
- Andere
- Gesamt-
- Aufsicht
- besitzen
- Teil
- Partnerschaften
- Party
- ein Bild
- Ort
- Plattform
- Plato
- Datenintelligenz von Plato
- PlatoData
- Points
- Politik durchzulesen
- möglich
- Praxis
- Gegenwart
- Presentations
- Priorität einräumen
- Pro
- Verfahren
- produktiv
- Professionell
- Programm
- vorgeschlage
- geschützt
- Schutz
- Sicherheit
- Ransomware
- RE
- Veteran
- Reduzierung
- bezogene
- relevant
- Reporting
- erfordern
- Downloads
- Reagieren
- für ihren Verlust verantwortlich.
- Risiko
- Risiken
- ROI
- Rollen
- Regel
- s
- S & P
- S & P 500
- SaaS
- salesforce
- gleich
- Skalieren
- SEK
- Gesicherte
- Securities
- Securities and Exchange Commission
- Sicherheitdienst
- Teilen
- sollte
- Einfacher
- Größe
- So
- Lösung
- Lösungen
- etwas
- spezifisch
- Beginnen Sie
- beginnt
- Schritt
- Strategisch
- Strategien
- so
- plötzlich
- Lieferanten
- liefern
- Lieferketten
- Oberfläche
- Reden
- sprechen
- Einführungen
- Team
- Technische
- Test
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- ihr
- Sie
- Dritte
- Bedrohung
- Bedrohungen
- Zeit
- zu
- auch
- Werkzeug
- enorm
- verstehen
- versteht
- ungenutzt
- Aktualisierung
- us
- -
- wertvoll
- Wert
- Ve
- Anbieter
- Gegen
- Sichtbarkeit
- Sicherheitslücken
- Verwundbarkeit
- Verwundbar
- Weg..
- Netz
- Webinare
- GUT
- Was
- Was ist
- während
- WHO
- werden wir
- bereit
- mit
- ohne
- Arbeiten
- Workday
- würde
- WSJ
- Jahr
- Du
- Ihr
- Zephyrnet
