انتخاب سطح پایینی از تحمل ریسک برای هیئت مدیره برای شرکت رایج شده است. مشکل این است که این اقدام معمولاً در همین جا متوقف میشود و هیچ دستورالعمل جدیدی به مدیر عامل یا مدیر مالی برای اتخاذ تصمیمهای متفاوتی که از این تحمل ریسک پایین پشتیبانی میکند، متوقف میشود.
گامهای بعدی بهینه لزوماً مستلزم پول بیشتر نیست، اگرچه افزایش بودجه امنیت سایبری واضحترین و اغلب ضروریترین اقدام است. همچنین می تواند شامل اعطای اختیار برای ایجاد تغییرات مورد نیاز برای ارتقاء موقعیت ریسک شرکت باشد.
CISO یا CRO باید بتوانند توافق نامه های ابری را با شرایط امنیتی جدید تأیید کنند. آنها همچنین باید بتوانند از شرکای تجاری احتمالی خود بخواهند که اقدامات امنیتی را انجام دهند، مانند آزمایش قلم اعلام نشده. شاید CISO بخواهد سیاست موبایل BYOD را حذف کند و در عوض فقط بر دستگاههای تحت کنترل شرکت پافشاری کند - آنها باید قدرت برقراری این تماس را داشته باشند. یا شاید CSO حق حسابرسی گزارش های هزینه های پرداختنی حساب ها را می خواهد و به دنبال خریدهایی (روترها، فروشندگان ابری، دستگاه های اینترنت اشیا و غیره) است که می تواند نشان دهد. سایه IT.
«آنچه در این مورد کثیف می شود این است که برای هیئت مدیره بسیار آسان است که بگوید تحمل ریسک پایینی دارد. جف پولارد، معاون و تحلیلگر اصلی Forrester Research میگوید: تقریباً به یک پیام بازاریابی تبدیل میشود. آیا اعضای هیئت مدیره واقعاً درک می کنند که داشتن تحمل ریسک پایین واقعاً به چه معناست؟ فقط گفتن آن برای هیئت مدیره هزینه ای ندارد. تبعات و پیامدهای تحمل ریسک پایین وجود دارد.»
پولارد میگوید: برای تعداد کمی از تابلوها، "هیچ ارتباط مستقیمی" بین آن اعلامیه و تغییرات مناسب برای واقعی کردن آن وجود ندارد. او می افزاید: «هنگام تصمیم گیری و تصمیم گیری در مورد بودجه، هیئت ها اغلب قطع می شوند. خطر در قرن 21 اغلب کمی با روکش کیفی است. آنها این بالماسکه بودن را دارند در حالی که نیستند. ما از زبان غیر دقیقی استفاده می کنیم که انگار دقیق است. ریسک مبهم است. هیچ تعریف واقعی معنیداری از معنای آن در عمل وجود ندارد.»
او میگوید: «تقسیمهایی که سریعتر رشد میکنند احتمالاً ریسک بالایی دارند، زیرا آنها بسیار سریع رشد میکنند و کارهایی را انجام میدهند که برای رشد سریع باید انجام شود.» «آیا هیئت مدیره (مدیرعامل) را برای ترمز کردن قدرت میدهد؟ من اینطور فکر نمی کنم. این مکالمه در مورد خطرات نیست، بلکه گفتگو در مورد مبادلات است.
ایجاد مرجع اجرایی بتن
سومیا بانرجی، یکی از شرکای مک کینزی، می گوید که هیئت مدیره امروز باید درک بسیار پیچیده تری از ریسک و راه های مشخصی که به آن پرداخته می شود.
"هیئت مدیره ها هنوز هم به اندازه ای که لازم است در مورد خطرات درک دارند. بانرجی گفت: امروزه خطرات به سرعت در حال تغییر هستند. وقتی هیئت مدیره می گوید «تحمل ریسک کم»، باید فهرستی از شاخص های ریسک کلیدی بسیار ملموس را تنظیم کند. تحمل ریسک باید با تاثیر ریسک تعریف شود. قطع ارتباط قطعی وجود دارد. هیئت ها باید امنیت سایبری را از نظر تحمل خطر به روشی درست - نه به صورت انتزاعی، بلکه به روش های بسیار ملموس - نشان دهند. معاوضه ها چیست؟ آیا ما برای انجام این کار پول داریم؟»
اندرو موریسون، رهبر استراتژی، دفاع و پاسخ در Deloitte، چالش کلیدی را پذیرش ریسک هیئت مدیره می داند. قدرت.
«تنها چیزی که واقعاً گم شده است، اختیار تصمیم گیری مناسب در امنیت سایبری است. جایی که ما شاهد حوادث به سمت جنوب هستیم، جایی است که تصمیمات فرماندهی و کنترل مبهم است. برای مثال، چه کسی میتواند تصمیم بگیرد که حضور آنلاین را قطع کند؟» موریسون می گوید. «هیئت مدیره بدون درک معنای آن برای سازمان، تحمل ریسک پایین را اعلام خواهد کرد. باید در مورد میزان قدرت CISO و تیم امنیتی برای تصمیم گیری صحبت شود.
دیوید بورگ، رهبر امنیت سایبری ارنست و یانگ آمریکا میگوید، سیستمهای قدیمی میتوانند به طور مؤثری حتی شدیدترین استراتژی هیئت مدیره ریسکگریز، به ویژه زیرمجموعه سیستمهای بسیار قدیمی و گران قیمت در تولید و سایر حوزههای OT را تضعیف کنند.
«این شامل طعم خاصی از میراث است که در آن به CISO گفته میشود: «به این چیزها دست نزنید. بورگ می گوید: این بسیار حساس و بسیار قدیمی است. هر سیستمی که خارج از محدوده فناوری اطلاعات و امنیت باشد، سیستمی است که مهاجمان آن را مکانی عالی برای پنهان کردن بدافزارها می بینند.
تنظیم انتظارات سهامداران مناسب
مت تولبرت، رهبر امنیت سایبری و مدیریت ریسک عملیاتی بانک فدرال رزرو کلیولند، میگوید: هیئتها همچنین باید در هنگام ایجاد استراتژی ریسک اشتها در فضای مجازی مراقب نیازهای انطباق و استراتژیک باشند.
تولبرت، که الف صحبت در کنفرانس RSA 2023 در مورد مسائل هیئت مدیره در مورد تصمیم گیری در مورد چنین سیاستی، می گوید که تعیین چنین سیاست هایی مهم است تا سهامداران میزان ریسکی که سهام مایل به تحمل آن است را درک کنند. تولبرت می گوید: «باید برای همه روشن باشد که این انتظارات چیست.
«چه کاری برای شخص ثالث مناسب است؟ یا هنگام حرکت به سمت ابر؟ تولبرت میگوید: «این راهنمایی است که آیا قابل قبول است یا خیر». یک رویکرد این است که با شرکای احتمالی گفتگوهای عمیقی در مورد ریسک داشته باشید تا مشخص شود آیا دو شرکت تحمل ریسک یکسانی دارند یا خیر.
او همچنین خاطرنشان می کند که تنها سطوح تحمل ریسک عملی پایین، متوسط و زیاد است. هیئت مدیره نمی تواند به دلایل قانونی اعلام کند که تحمل ریسک صفر دارد. اگر این کار را می کرد، شرکت را برای شکایت پس از یک تخلف باز می کرد.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoAiStream. Web3 Data Intelligence دانش تقویت شده دسترسی به اینجا.
- ضرب کردن آینده با آدرین اشلی. دسترسی به اینجا.
- خرید و فروش سهام در شرکت های PRE-IPO با PREIPO®. دسترسی به اینجا.
- منبع: https://www.darkreading.com/edge-articles/how-boards-can-set-enforceable-cyber-risk-tolerance-levels
- : دارد
- :است
- :نه
- :جایی که
- $UP
- 2023
- 7
- a
- قادر
- درباره ما
- چکیده
- قابل قبول
- پذیرش
- حساب ها
- حساب های قابل پرداخت
- عمل
- واقعی
- واقعا
- می افزاید:
- پس از
- موافقت نامه
- همچنین
- هر چند
- آمریکا
- an
- روانکاو
- و
- هر
- اشتها
- روش
- مناسب
- تصویب
- اتشی مزاج
- هستند
- مناطق
- دور و بر
- AS
- وابسته
- At
- حسابرسی
- قدرت
- بانک
- BE
- زیرا
- تبدیل شدن به
- بودن
- میان
- تخته
- شکاف
- بودجه
- کسب و کار
- اما
- by
- صدا
- CAN
- دقیق
- قرن
- مدیر عامل شرکت
- معین
- cfo
- به چالش
- تبادل
- را انتخاب کنید
- CISO
- واضح
- ابر
- مشترک
- شرکت
- شرکت
- انطباق
- شرایط
- کنترل
- گفتگو
- هزینه
- میتوانست
- CRO
- سایبر
- امنیت سایبری
- امنیت سایبری
- داود
- تصمیم گیری
- تصمیم گیری
- تصمیم
- تصمیم گیری
- تصمیم گیری
- عمیق
- دفاع
- مشخص
- تحویل داده
- deloitte
- مشخص کردن
- دستگاه ها
- DID
- مختلف
- مستقیم
- دستورات
- مدیران
- منفصل
- بحث و گفتگو
- بخش
- do
- عمل
- دان
- انجام شده
- پایین
- ساده
- به طور موثر
- از بین بردن
- قدرت
- توانمندسازی
- قابل اجرا
- سرمایه گذاری
- ارنست و یانگ
- به خصوص
- و غیره
- حتی
- هر کس
- در حال تحول
- مثال
- اجرایی
- انتظارات
- گران
- FAST
- سریعترین
- سریع ترین رشد
- فدرال
- فدرال رزرو
- بانک فدرال رزرو
- کمی از
- برای
- فورستر
- بودجه
- Go
- اعطای
- بزرگ
- شدن
- در حال رشد
- راهنمایی
- آیا
- داشتن
- he
- پنهان شدن
- زیاد
- چگونه
- HTTP
- HTTPS
- i
- if
- تأثیر
- پیامدهای
- مهم
- in
- افزایش
- نشان دادن
- شاخص ها
- در عوض
- به
- شامل
- اینترنت اشیا
- دستگاه های iot
- مسائل
- IT
- JPG
- تنها
- کلید
- زبان
- رهبر
- میراث
- قانونی
- سطح
- سطح
- فهرست
- به دنبال
- کم
- ساخت
- ساخت
- نرم افزارهای مخرب
- مدیریت
- روش
- تولید
- بازار یابی (Marketing)
- masquerade
- مک کینزی
- معنی دار
- به معنی
- معیارهای
- متوسط
- دیدار
- اعضا
- پیام
- گم
- موبایل
- پول
- بیش
- اکثر
- حرکت
- متحرک
- بسیار
- باید
- لزوما
- لازم
- نیاز
- ضروری
- نیازهای
- جدید
- بعد
- نه
- یادداشت
- هیچ چی
- واضح
- of
- خاموش
- غالبا
- قدیمی
- on
- ONE
- آنلاین
- فقط
- باز کن
- قابل استفاده
- بهینه
- or
- کدام سازمان ها
- دیگر
- خارج
- شریک
- شرکای
- محل
- افلاطون
- هوش داده افلاطون
- PlatoData
- سیاست
- سیاست
- موقعیت
- پتانسیل
- قدرت
- عملی
- تمرین
- دقیق
- حضور
- اصلی
- شاید
- مشکل
- مناسب
- آینده نگر
- خرید
- قرار دادن
- کیفی
- کمی
- سریع
- واقعی
- واقعا
- دلایل
- گزارش ها
- نشان دادن
- نیاز
- تحقیق
- ذخیره
- بانک ذخیره
- پاسخ
- راست
- خطر
- اشتهای خطرناک
- مدیریت ریسک
- خطرات
- rsa
- s
- سعید
- همان
- گفتن
- می گوید:
- تیم امنیت لاتاری
- اقدامات امنیتی
- دیدن
- می بیند
- حساس
- تنظیم
- محیط
- سهامدار
- سهامداران
- باید
- خاموش
- تنها
- So
- مصنوعی
- جنوب
- مراحل
- هنوز
- موجودی
- توقف
- استراتژیک
- استراتژی
- چنین
- شکایت
- پشتیبانی
- سیستم
- سیستم های
- تیم
- قوانین و مقررات
- تست
- که
- La
- آنجا.
- آنها
- چیز
- فکر می کنم
- شخص ثالث
- این
- کسانی که
- اگر چه؟
- به
- امروز
- تحمل
- لمس
- صادقانه
- تبدیل
- دو
- به طور معمول
- تضعیف
- فهمیدن
- درک
- ارتقاء
- با استفاده از
- فروشندگان
- بسیار
- می خواهد
- مسیر..
- راه
- we
- چی
- چه شده است
- چه زمانی
- چه
- که
- WHO
- اراده
- مایل
- با
- بدون
- خواهد بود
- جوان
- زفیرنت
- صفر