چگونه هیئت ها می توانند سطوح قابل اجرا تحمل ریسک سایبری را تعیین کنند

انتخاب سطح پایینی از تحمل ریسک برای هیئت مدیره برای شرکت رایج شده است. مشکل این است که این اقدام معمولاً در همین جا متوقف می‌شود و هیچ دستورالعمل جدیدی به مدیر عامل یا مدیر مالی برای اتخاذ تصمیم‌های متفاوتی که از این تحمل ریسک پایین پشتیبانی می‌کند، متوقف می‌شود.

گام‌های بعدی بهینه لزوماً مستلزم پول بیشتر نیست، اگرچه افزایش بودجه امنیت سایبری واضح‌ترین و اغلب ضروری‌ترین اقدام است. همچنین می تواند شامل اعطای اختیار برای ایجاد تغییرات مورد نیاز برای ارتقاء موقعیت ریسک شرکت باشد.

CISO یا CRO باید بتوانند توافق نامه های ابری را با شرایط امنیتی جدید تأیید کنند. آنها همچنین باید بتوانند از شرکای تجاری احتمالی خود بخواهند که اقدامات امنیتی را انجام دهند، مانند آزمایش قلم اعلام نشده. شاید CISO بخواهد سیاست موبایل BYOD را حذف کند و در عوض فقط بر دستگاه‌های تحت کنترل شرکت پافشاری کند - آنها باید قدرت برقراری این تماس را داشته باشند. یا شاید CSO حق حسابرسی گزارش های هزینه های پرداختنی حساب ها را می خواهد و به دنبال خریدهایی (روترها، فروشندگان ابری، دستگاه های اینترنت اشیا و غیره) است که می تواند نشان دهد. سایه IT.

«آنچه در این مورد کثیف می شود این است که برای هیئت مدیره بسیار آسان است که بگوید تحمل ریسک پایینی دارد. جف پولارد، معاون و تحلیلگر اصلی Forrester Research می‌گوید: تقریباً به یک پیام بازاریابی تبدیل می‌شود. آیا اعضای هیئت مدیره واقعاً درک می کنند که داشتن تحمل ریسک پایین واقعاً به چه معناست؟ فقط گفتن آن برای هیئت مدیره هزینه ای ندارد. تبعات و پیامدهای تحمل ریسک پایین وجود دارد.»

پولارد می‌گوید: برای تعداد کمی از تابلوها، "هیچ ارتباط مستقیمی" بین آن اعلامیه و تغییرات مناسب برای واقعی کردن آن وجود ندارد. او می افزاید: «هنگام تصمیم گیری و تصمیم گیری در مورد بودجه، هیئت ها اغلب قطع می شوند. خطر در قرن 21 اغلب کمی با روکش کیفی است. آنها این بالماسکه بودن را دارند در حالی که نیستند. ما از زبان غیر دقیقی استفاده می کنیم که انگار دقیق است. ریسک مبهم است. هیچ تعریف واقعی معنی‌داری از معنای آن در عمل وجود ندارد.»

او می‌گوید: «تقسیم‌هایی که سریع‌تر رشد می‌کنند احتمالاً ریسک بالایی دارند، زیرا آنها بسیار سریع رشد می‌کنند و کارهایی را انجام می‌دهند که برای رشد سریع باید انجام شود.» «آیا هیئت مدیره (مدیرعامل) را برای ترمز کردن قدرت می‌دهد؟ من اینطور فکر نمی کنم. این مکالمه در مورد خطرات نیست، بلکه گفتگو در مورد مبادلات است.

ایجاد مرجع اجرایی بتن

سومیا بانرجی، یکی از شرکای مک کینزی، می گوید که هیئت مدیره امروز باید درک بسیار پیچیده تری از ریسک و راه های مشخصی که به آن پرداخته می شود.

"هیئت مدیره ها هنوز هم به اندازه ای که لازم است در مورد خطرات درک دارند. بانرجی گفت: امروزه خطرات به سرعت در حال تغییر هستند. وقتی هیئت مدیره می گوید «تحمل ریسک کم»، باید فهرستی از شاخص های ریسک کلیدی بسیار ملموس را تنظیم کند. تحمل ریسک باید با تاثیر ریسک تعریف شود. قطع ارتباط قطعی وجود دارد. هیئت ها باید امنیت سایبری را از نظر تحمل خطر به روشی درست - نه به صورت انتزاعی، بلکه به روش های بسیار ملموس - نشان دهند. معاوضه ها چیست؟ آیا ما برای انجام این کار پول داریم؟»

اندرو موریسون، رهبر استراتژی، دفاع و پاسخ در Deloitte، چالش کلیدی را پذیرش ریسک هیئت مدیره می داند. قدرت.

«تنها چیزی که واقعاً گم شده است، اختیار تصمیم گیری مناسب در امنیت سایبری است. جایی که ما شاهد حوادث به سمت جنوب هستیم، جایی است که تصمیمات فرماندهی و کنترل مبهم است. برای مثال، چه کسی می‌تواند تصمیم بگیرد که حضور آنلاین را قطع کند؟» موریسون می گوید. «هیئت مدیره بدون درک معنای آن برای سازمان، تحمل ریسک پایین را اعلام خواهد کرد. باید در مورد میزان قدرت CISO و تیم امنیتی برای تصمیم گیری صحبت شود.

دیوید بورگ، رهبر امنیت سایبری ارنست و یانگ آمریکا می‌گوید، سیستم‌های قدیمی می‌توانند به طور مؤثری حتی شدیدترین استراتژی هیئت مدیره ریسک‌گریز، به ویژه زیرمجموعه سیستم‌های بسیار قدیمی و گران قیمت در تولید و سایر حوزه‌های OT را تضعیف کنند.

«این شامل طعم خاصی از میراث است که در آن به CISO گفته می‌شود: «به این چیزها دست نزنید. بورگ می گوید: این بسیار حساس و بسیار قدیمی است. هر سیستمی که خارج از محدوده فناوری اطلاعات و امنیت باشد، سیستمی است که مهاجمان آن را مکانی عالی برای پنهان کردن بدافزارها می بینند.

تنظیم انتظارات سهامداران مناسب

مت تولبرت، رهبر امنیت سایبری و مدیریت ریسک عملیاتی بانک فدرال رزرو کلیولند، می‌گوید: هیئت‌ها همچنین باید در هنگام ایجاد استراتژی ریسک اشتها در فضای مجازی مراقب نیازهای انطباق و استراتژیک باشند.

تولبرت، که الف صحبت در کنفرانس RSA 2023 در مورد مسائل هیئت مدیره در مورد تصمیم گیری در مورد چنین سیاستی، می گوید که تعیین چنین سیاست هایی مهم است تا سهامداران میزان ریسکی که سهام مایل به تحمل آن است را درک کنند. تولبرت می گوید: «باید برای همه روشن باشد که این انتظارات چیست.

«چه کاری برای شخص ثالث مناسب است؟ یا هنگام حرکت به سمت ابر؟ تولبرت می‌گوید: «این راهنمایی است که آیا قابل قبول است یا خیر». یک رویکرد این است که با شرکای احتمالی گفتگوهای عمیقی در مورد ریسک داشته باشید تا مشخص شود آیا دو شرکت تحمل ریسک یکسانی دارند یا خیر.

او همچنین خاطرنشان می کند که تنها سطوح تحمل ریسک عملی پایین، متوسط ​​و زیاد است. هیئت مدیره نمی تواند به دلایل قانونی اعلام کند که تحمل ریسک صفر دارد. اگر این کار را می کرد، شرکت را برای شکایت پس از یک تخلف باز می کرد.

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoAiStream. Web3 Data Intelligence دانش تقویت شده دسترسی به اینجا.
• ضرب کردن آینده با آدرین اشلی. دسترسی به اینجا.
• خرید و فروش سهام در شرکت های PRE-IPO با PREIPO®. دسترسی به اینجا.
• منبع: https://www.darkreading.com/edge-articles/how-boards-can-set-enforceable-cyber-risk-tolerance-levels