Direktorite nõukogu näeb teid kohe

Rohkem kui 15 aastat on küberjulgeolekutööstus rääkinud võrgustikuga suhtlemisest juhatus. On tavaline, et müüjad korraldavad võimaluse korral e-raamatuid, veebiseminare ja esitlusi selle kohta, kuidas ja mida peaksid infoturbe juhid (CISO) oma juhatusele esitama.

Lisaks võimaluste puudumisele võivad CISO-d olla juhatusele esitlemise pärast mures, sest nad on ainsad C-taseme juhid, kellel puudub oma tööriist. mõõta ROI-d. Alates Salesforce'ist kuni Workdayni ja lõpetades Marketoga, on C-suite'i juhtidel platvormilahendused, mis koondavad, analüüsivad ja esitavad aruande iga toimingu aspekti kohta. CISO jaoks sellist lahendust pole, mistõttu on turbeprogrammide ROI mõõtmine või äriväärtuse demonstreerimine keerulisem.

Irooniline on see, et hoolimata huvist neile esitleda, on alahinnatud väita, et küberturvalisus ei ole juhatuse põhipädevus. WSJ Pro küberturvalisuse uurimine uuris kõigi S&P 500 juhatuse liikmete ametialast tausta ja leidis, et vähem kui 2%-l "oli viimase 10 aasta jooksul asjakohane töökogemus küberjulgeoleku vallas".

Ükskõik, kes sa ka poleks, on raske tunda suurt huvi millegi vastu, millest sa aru ei saa. See tähendab, kuni olete motiveeritud õppima. Väärtpaberi- ja börsikomisjoni (SEC) lubadusel on meie ees praegu suurepärane äratus juhatuste ja küberturvalisuse jaoks.

Järgi Harvard Business ReviewKavandatav SEC-eeskiri nõuab ettevõtetelt oma küberjulgeoleku juhtimise võimete avalikustamist, sealhulgas juhatuse järelevalve küberriskide üle, juhtkonna rolli kirjelduse küberriskide hindamisel ja juhtimisel, sellise juhtimise asjakohaste teadmiste ja juhtkonna rolli elluviimisel ettevõttes. küberjulgeolekupoliitika, protseduurid ja strateegiad.

Ma eeldan, et rohkem juhatusi otsib juba praegu küberturvalisuse taustaga kogenud juhte. Mida see seni CISOde jaoks tähendab?

Suurepärane võimalus

Äkilise huviga küberturvalisuse vastu, kuid väheste teadmistega võib see, mida juhatuse liikmed teada tahavad, võrreldes sellega, mida neil on vaja teada, olla üsna erinev. Näiteks keskendudes liiga palju viimasele rünnakule pealkirjades või keskendudes liiga palju nõuetele vastavusele. Sarnaselt testi õpetamisega võib nõuetele vastavuse saavutamine olla hea samm õiges suunas, kuid see ei ole alati sama, mis püüdlus rakendada parimaid võimalikke turvameetmeid. Kui riskide minimeerimise ja kõige kriitilisemate varade kaitsmise asemel saab turvaeesmärgiks vastavuse saavutamine, oleme asjast mööda pannud.

Milline võimalus on CISO-l luua oma organisatsiooni jaoks narratiiv "küberturvalisus kui äritegevuse võimaldaja". Teie koht koosolekuruumis on nüüd kindlustatud. Aeg-ajalt ühekordse värskenduse asemel osalete nüüd jooksvalt ärivestluses. See on võimalus asetada küberturvalisus äriotsuste konteksti, millest juhatus aru saab. Loobuge akronüümidest ja tehnilistest juttudest ohtudest, haavatavustest ja rünnakutest. Valdage ärikeelt ja rääkige iga päev tehtavate äriotsuste kübertagajärgedest.

SaaS-i rakenduste kasutamine, mis muudavad töötajad hübriidses töökeskkonnas tootlikumaks, jätab organisatsiooni ka rohkem riskidele, kuna kriitilised äriandmed on nüüd kolmanda osapoole kontrolli all. Äripartnerlustel, mis ajendavad geograafilist laienemist, uute rakenduste võimalikult kiiresti turule toomist, et turuosa võita, või insenerimeeskonna omandamiseks, on küberturvalisusele tohutud tagajärjed. Näiteks ettevõtte omandamisel päritakse ka selle ründepind. Juurdepääsu ettevõtte ressurssidele ei vaja mitte ainult uus töötajate rühm, vaid ka kõik nende töövõtjad, partnerid, tarnijad jne. See on sassis, laiendatud digitaalne võrk ühendatud varadest ja tagajärgedest.

Turvajuhtidel oleks hea teha küberjulgeolek ärikontekstis käegakatsutavaks. Nagu iga muu äritegevuse osa, tuleb teha otsuseid ja kaaluda kompromisse, mis kõik on seotud vastuvõetava riskitasemega, millele organisatsioon on valmis end kokku puutuma.

Automatiseerimine ja tõendid

SEC-i silme all vajab juhatus tõendeid selle kohta, milliste varade eest ta vastutab ning kuidas seda jälgitakse ja ennetavalt kaitstakse. Millal juhatus rikkumise korral sellest teada sai ning kui kiiresti ta reageeris ja juhtunust avalikustas?

See algab teadmisega, mida te kaitsete ja kuidas te seda teete. Kriitiliste varade avastamisest saab tänapäevase küberjulgeoleku programmi põhioskus, mis toetab nähtavust, klassifitseerimist ja parandustegevust. Avastamine ja klassifitseerimine peavad olema automatiseeritud, et tulla toime andmete ja ettevõttega ühendatud varade suuruse, liikumise ja kasvuga hübriidpilvede, SaaS-i partnerite ja digitaalsete tarneahelate vahel. Kaitse algab selle laialivalguva rünnakupinna täielikust nähtavusest, sealhulgas kõigi avalike varade sõltuvustest, ühendustest ja haavatavusest. Sealt saate seada prioriteediks kaitse kõige kriitilisemate ohtude vastu oma kõige väärtuslikumatele varadele.

Automaattuvastus võib tuvastada ka seisvaid, kasutamata ja mittevajalikke varasid. Sel viisil saab neid tõhusalt dekomisjoneerida, et vähendada küberrisk ja samal ajal rünnata pinna laialivalgumist.

Järeldus

Praegu pole õige aeg juhatust teavitada pahavara ja lunavara erinevuste kohta. See kujutab endast tervikliku pildi loomist ohumaastikust ning organisatsiooni ees seisvatest konkreetsetest riskidest ja riskidest. CISO-d peaksid rääkima üldisest turvaprogrammist ja strateegilistest algatustest, mis võimaldavad äritegevust riskide mõõtmisel ja vähendamisel.

Aidake juhatusel mõista, kus ettevõte on haavatav, kus lõppevad kontrollid ja kust algab kokkupuude. Millised on tagajärjed ja kaitsevõimalused? Lõppkokkuvõttes on küberturvalisus äriline väljakutse, nagu marginaalide ja turuosa kasv. Strateegilised prioriteedid ja ärieesmärkidele vastavad investeeringud. Kõlab nii lihtsalt.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• Platoblockchain. Web3 metaversiooni intelligentsus. Täiustatud teadmised. Juurdepääs siia.
• Allikas: https://www.darkreading.com/risk/the-board-of-directors-will-see-you-now