Το Διοικητικό Συμβούλιο θα σας δει τώρα

Για περισσότερα από 15 χρόνια, ο κλάδος της κυβερνοασφάλειας μιλάει για επικοινωνία με τους διοικητικό συμβούλιο. Είναι κοινή πρακτική για τους πωλητές να έχουν ηλεκτρονικά βιβλία, διαδικτυακά σεμινάρια και παρουσιάσεις σχετικά με το πώς και τι πρέπει να παρουσιάζουν οι υπεύθυνοι ασφάλειας πληροφοριών (CISO) στα συμβούλια τους — όταν τους δοθεί η ευκαιρία.

Μαζί με την έλλειψη ευκαιριών, οι CISO μπορεί να έχουν άγχος σχετικά με την παρουσίαση στο διοικητικό συμβούλιο επειδή είναι τα μόνα στελέχη C-level χωρίς δικό τους εργαλείο μετρήστε την απόδοση επένδυσης (ROI).. Από το Salesforce έως το Workday έως το Marketo, τα στελέχη της C-suite διαθέτουν λύσεις πλατφόρμας που συγκεντρώνουν, αναλύουν και αναφέρουν κάθε πτυχή της λειτουργίας. Δεν υπάρχει τέτοια λύση για το CISO, καθιστώντας δυσκολότερη τη μέτρηση της απόδοσης επένδυσης του προγράμματος ασφαλείας ή την απόδειξη της επιχειρηματικής αξίας.

Η ειρωνεία είναι ότι, παρ' όλο το ενδιαφέρον να τους παρουσιάσουμε, το να πούμε ότι η κυβερνοασφάλεια δεν είναι βασική αρμοδιότητα του διοικητικού συμβουλίου είναι υποτιμητικό. WSJ Pro Cybersecurity Research ερεύνησε το επαγγελματικό υπόβαθρο όλων των μελών του διοικητικού συμβουλίου του S&P 500 και διαπίστωσε ότι λιγότερο από το 2% «είχε σχετική επαγγελματική εμπειρία στην ασφάλεια στον κυβερνοχώρο τα τελευταία 10 χρόνια».

Όποιος κι αν είσαι, είναι δύσκολο να έχεις μεγάλο ενδιαφέρον για κάτι που δεν καταλαβαίνεις. Δηλαδή, μέχρι να παρακινηθείτε να μάθετε. Αυτό που έχουμε μπροστά μας τώρα είναι μια μεγάλη αφύπνιση για τα διοικητικά συμβούλια και την ασφάλεια στον κυβερνοχώρο, ευγενική προσφορά της Επιτροπής Κεφαλαιαγοράς (SEC).

Σύμφωνα με Harvard Business Review, «ένας προτεινόμενος κανόνας SEC θα απαιτεί από τις εταιρείες να αποκαλύπτουν τις ικανότητές τους διακυβέρνησης στον κυβερνοχώρο, συμπεριλαμβανομένης της επίβλεψης του κινδύνου στον κυβερνοχώρο από το διοικητικό συμβούλιο, περιγραφή του ρόλου της διοίκησης στην αξιολόγηση και διαχείριση των κινδύνων στον κυβερνοχώρο, τη σχετική τεχνογνωσία αυτής της διαχείρισης και τον ρόλο της διοίκησης στην εφαρμογή των πολιτικές, διαδικασίες και στρατηγικές για την ασφάλεια στον κυβερνοχώρο».

Θα περίμενα περισσότερα συμβούλια να αναζητούν έμπειρα στελέχη με υπόβαθρο στον τομέα της κυβερνοασφάλειας, ξεκινώντας από τώρα. Εν τω μεταξύ, τι σημαίνει αυτό για τους CISO;

Μια μεγάλη ευκαιρία

Με ένα ξαφνικό ενδιαφέρον για την ασφάλεια στον κυβερνοχώρο, αλλά ελάχιστη γνώση αυτής, αυτό που θέλουν να γνωρίζουν τα μέλη του διοικητικού συμβουλίου σε σχέση με αυτό που πρέπει να γνωρίζουν μπορεί να είναι αρκετά διαφορετικό. Για παράδειγμα, η υπερβολική εστίαση στην τελευταία επίθεση στους τίτλους ή η υπερβολική εστίαση στη συμμόρφωση. Όπως και η διδασκαλία στο τεστ, η επίτευξη συμμόρφωσης μπορεί να είναι ένα καλό βήμα προς τη σωστή κατεύθυνση, αλλά δεν είναι πάντα το ίδιο με την προσπάθεια εφαρμογής των καλύτερων δυνατών μέτρων ασφαλείας. Όταν η επίτευξη συμμόρφωσης γίνεται ο στόχος ασφάλειας αντί να ελαχιστοποιούμε τον κίνδυνο και να προστατεύουμε τα πιο κρίσιμα περιουσιακά στοιχεία, έχουμε χάσει την ουσία.

Τι ευκαιρία για το CISO να δημιουργήσει μια αφήγηση για την «κυβερνοασφάλεια ως επιχειρηματικό εργαλείο» για τον οργανισμό τους. Η θέση σας στην αίθουσα συνεδριάσεων είναι πλέον εξασφαλισμένη. Αντί για την περιστασιακή μεμονωμένη ενημέρωση, είστε πλέον μέρος της επαγγελματικής συνομιλίας σε συνεχή βάση. Αυτή είναι μια ευκαιρία να τοποθετηθεί η κυβερνοασφάλεια στο πλαίσιο επιχειρηματικών αποφάσεων που κατανοεί το συμβούλιο. Καταργήστε τα ακρωνύμια και τις τεχνικές συζητήσεις για απειλές, τρωτά σημεία και επιθέσεις. Να μιλάτε άπταιστα στη γλώσσα των επιχειρήσεων και να μιλάτε για τις συνέπειες στον κυβερνοχώρο των επιχειρηματικών αποφάσεων που λαμβάνονται καθημερινά.

Η χρήση εφαρμογών SaaS που κάνουν τους υπαλλήλους πιο παραγωγικούς σε ένα υβριδικό εργασιακό περιβάλλον αφήνει επίσης τον οργανισμό πιο εκτεθειμένο σε κινδύνους, καθώς τα κρίσιμα επιχειρηματικά δεδομένα έχουν πλέον τον έλεγχο ενός τρίτου μέρους. Οι επιχειρηματικές συνεργασίες που οδηγούν σε γεωγραφική επέκταση, η βιαστική διάθεση νέων εφαρμογών στην αγορά όσο το δυνατόν γρηγορότερα για την κατάκτηση μεριδίου αγοράς ή η απόκτηση κλιμάκωσης της ομάδας μηχανικών έχουν τεράστιες συνέπειες για την ασφάλεια στον κυβερνοχώρο. Για παράδειγμα, όταν αποκτάτε μια εταιρεία, κληρονομείτε και την επιφάνεια επίθεσης της. Δεν είναι μόνο μια νέα ομάδα εργαζομένων που χρειάζεται πρόσβαση στους πόρους της επιχείρησης, αλλά όλοι οι εργολάβοι, οι συνεργάτες, οι προμηθευτές τους κ.λπ. Είναι ένας μπερδεμένος, εκτεταμένος ψηφιακός ιστός συνδεδεμένων περιουσιακών στοιχείων και επιπτώσεων.

Οι ηγέτες ασφάλειας θα ήταν καλό να κάνουν την ασφάλεια στον κυβερνοχώρο απτή σε επιχειρηματικό πλαίσιο. Όπως κάθε άλλο μέρος της επιχείρησης, υπάρχουν αποφάσεις που πρέπει να ληφθούν και συμβιβασμούς που πρέπει να ληφθούν υπόψη, όλα σχετίζονται με το αποδεκτό επίπεδο κινδύνου στον οποίο είναι διατεθειμένος να εκτεθεί ο οργανισμός.

Αυτοματισμός και Απόδειξη

Υπό τα μάτια της SEC, το διοικητικό συμβούλιο χρειάζεται στοιχεία για τα περιουσιακά στοιχεία για τα οποία είναι υπεύθυνο και πώς παρακολουθείται και προστατεύεται προληπτικά. Σε περίπτωση παραβίασης, πότε το διοικητικό συμβούλιο το γνώριζε και πόσο γρήγορα ανταποκρίθηκε και αποκάλυψε το περιστατικό;

Ξεκινά με το να γνωρίζετε τι προστατεύετε και πώς το κάνετε αυτό. Η ανακάλυψη κρίσιμων περιουσιακών στοιχείων γίνεται μια βασική ικανότητα που στηρίζει τις προσπάθειες προβολής, ταξινόμησης και αποκατάστασης σε ένα σύγχρονο πρόγραμμα κυβερνοασφάλειας. Η ανακάλυψη και η ταξινόμηση πρέπει να αυτοματοποιηθούν για την αντιμετώπιση του μεγέθους, της κίνησης και της ανάπτυξης των δεδομένων και των συνδεδεμένων με την επιχείρηση περιουσιακών στοιχείων σε υβριδικά σύννεφα, συνεργάτες SaaS και ψηφιακές αλυσίδες εφοδιασμού. Η προστασία ξεκινά με την πλήρη ορατότητα αυτής της εκτεταμένης επιφάνειας επίθεσης, συμπεριλαμβανομένων κάθε εξάρτησης, σύνδεσης και ευπάθειας σε όλα τα δημόσια στοιχεία. Από εκεί, μπορείτε να δώσετε προτεραιότητα στις προστασίες έναντι των πιο κρίσιμων απειλών για τα πιο πολύτιμα περιουσιακά σας στοιχεία.

Η αυτοματοποιημένη ανακάλυψη μπορεί επίσης να εντοπίσει στοιχεία που είναι αδρανής, αχρησιμοποίητα και περιττά. Με αυτόν τον τρόπο, μπορούν να παροπλιστούν αποτελεσματικά για μείωση κυβερνο-κίνδυνος και ταυτόχρονα επιτίθεται σε εξάπλωση της επιφάνειας.

Συμπέρασμα

Δεν είναι τώρα η ώρα να εκπαιδεύσουμε το διοικητικό συμβούλιο σχετικά με τη διαφορά μεταξύ κακόβουλου λογισμικού και ransomware. Πρόκειται για τη ζωγραφική μιας ολοκληρωμένης εικόνας του τοπίου απειλών και των συγκεκριμένων κινδύνων και εκθέσεων που αντιμετωπίζει ο οργανισμός. Οι CISO θα πρέπει να μιλούν για το συνολικό πρόγραμμα ασφάλειας και τις στρατηγικές πρωτοβουλίες που θα βοηθήσουν την επιχείρηση να μετρήσει και να μειώσει τον κίνδυνο.

Βοηθήστε το διοικητικό συμβούλιο να καταλάβει πού είναι ευάλωτη η επιχείρηση, πού τελειώνουν οι έλεγχοι και πού αρχίζει η έκθεση. Ποιες είναι οι συνέπειες και οι επιλογές προστασίας; Στο τέλος της ημέρας, η κυβερνοασφάλεια είναι μια επιχειρηματική πρόκληση, όπως τα αυξανόμενα περιθώρια κέρδους και το μερίδιο αγοράς. Στρατηγικές προτεραιότητες και επενδύσεις ευθυγραμμισμένες με τους επιχειρηματικούς στόχους. Ακούγεται τόσο απλό.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/risk/the-board-of-directors-will-see-you-now