6 vaihetta, joiden avulla saat kyberturvallisuusohjelman mukaasi

Liiketoiminnan turvallisuus

Kuinka CISO:t ja heidän kollegansa voivat olla paremmin tekemisissä johtokuntien kanssa saadakseen pitkän aikavälin osallistumisen strategisiin aloitteisiin

Phil Muncaster

Lokakuu 11 2023  •  , 4 min. lukea

Turvallisemman digitaalisen maailman rakentaminen vaatii toimia monella rintamalla. Aloitteet kuten Kyberturvallisuustietoisuuskuukausi (CSAM) ovat suuria mahdollisuuksia muistuttaa suurta yleisöä tärkeistä parhaista käytännöistä varten salasanan hallinta, haavoittuvuuden korjaus ja enemmän. Mutta vaikka tämä voi vaikeuttaa kuluttajiin kohdistuvien kyberrikollisten elämää, se on silti mahdollisuus tuoda kyberriskit yritysjohtajien tietoon.

Yhdysvalloissa, siellä oli 114 % neljännesvuosittainen kasvu julkisesti raportoiduissa tietomurroissa vuoden 2 toisella neljänneksellä, mikä nosti vuoden uuden ennätyksen. Euroopassa EU:n turvallisuusvirasto ENISA varoitti vuonna 2022 nollapäivän hyökkäyksiä, lunnasohjelmia palveluna, hakkereita vuokralle, toimitusketjun hyökkäykset ja sosiaalinen suunnittelu. Asiaan pääseminen on viime kädessä CISO:n tehtävä. Mutta jotta tämä rooli olisi tehokas, se tarvitsee oikean tuen hallitukselta. Tästä syystä on niin tärkeää saada sitoutumista ja sisäänostoa projekteihin.

Kohti IT-levyjen kohdistusta

Yrityksen johtajuuden ja IT- ja kyberstrategiasta vastaavien välillä on usein ollut jonkinlainen yhteys. Yleisesti ottaen tietoturvakäsitys on, että kyberuhat on pidettävä loitolla, mutta ei sen enempää. Toisin sanoen monet lautakunnat saattavat silti nähdä IT:n ja kyberturvallisuuden välttämättöminä kuluina, mutta eivät tulojen tekijänä – eivätkä varmastikaan liiketoiminnan mahdollistajana.

Lopputulos on, että vaikka Gartner ennustaa Turvallisuuteen ja riskienhallintaan käytettävät maailmanlaajuiset menot kasvavat yli 11 prosenttia vuonna 2023 188 miljardiin dollariin, sitä ei välttämättä käytetä viisaasti. Irrotetut laudat yleensä vapauttavat budjettia hajanaisesti ja reaktiivisesti, kuten rikkomisen jälkeen. Tämä voi johtaa huonoihin tuloksiin ja pisteratkaisujen kertymiseen, mikä lopulta osoittautuu huonoksi vastineeksi rahalle.

Itse asiassa, mukaan Yhdessä tutkimuksessa, vain kaksi viidesosaa (39 %) turvallisuuspäättäjistä uskoo, että heidän yrityksensä johto todella ymmärtää kyberturvallisuuden roolin liiketoiminnan menestyksessä. Vastaava osuus (36 %) vaateturvaa tarkastellaan vain vaatimustenmukaisuusvaatimusten linssin läpi. Joten miten CISO:t ja heidän kollegansa voivat olla paremmin tekemisissä hallitusten kanssa saadakseen pitkän aikavälin sisäänostoa strategisiin aloitteisiin?

Tässä kuusi ehdotusta:

• Puhu oikeaa kieltä

Ensimmäinen askel kohti parempaa kyber-liiketoiminnan yhdenmukaistamista on ymmärrettävä. Tämä tarkoittaa, että ei puhuta bittien ja tavujen ja monimutkaisten teknisten yksityiskohtien kieltä, vaan liiketoimintariskiä. Tämä helpottaa hallituksen johtajien sitouttamista ja osallistumista tiettyyn strategiseen aloitteeseen. Kerro heille, että kiristysohjelmahyökkäys voi viedä 200 palvelinta offline-tilaan, ja he saattavat ajatella "entä sitten?" Mutta selitä, että tämä voi aiheuttaa viikon käyttökatkon hintaan 400,000 XNUMX dollaria tunnissa ja reaktio on hyvin erilainen.   

• Mittaa riskiä ja tee siitä merkityksellinen

Osa keskustelusta kielellä, jota molemmat osapuolet ymmärtävät, perustuu tietojen jakamiseen, jotka perustuvat mittareihin, jotka muuttavat kyberturvallisuustiedot hallintoneuvostolle ja yrityksille tärkeiksi mittauksiksi. Harkittavia alueita ovat mittareita, jotka osoittavat olemassa olevien suojaustoimintojen suorituskyvyn ja tehokkuuden – havainnollistamaan, missä asiat toimivat hyvin ja mitkä alueet kaipaavat parannusta. Näiden seuraaminen ajan mittaan lisää vaikutusta, samoin kuin vertailut alan vertailuarvoihin.

Kun esität nämä hallitukselle, pidä asiat yksinkertaisina ja korkealla tasolla. Mutta älä pelkää käyttää yrityksen anekdoottisia tarinoita tuodaksesi pisteen kotiin.

• Edistä turvallisuutta suunnittelun ja oletuksena

Mukaan World Economic Forum (WEF), 43 % yritysjohtajista pitää todennäköisenä, että kyberhyökkäys "vaikuttaa olennaisesti" heidän organisaatioonsa seuraavien kahden vuoden aikana. Vaikka on myönteinen asia, että he arvostavat kyberriskin vakavuutta, se heijastaa myös neuvotteluhuoneen ajattelutapaa, joka keskittyy yhä enemmän resurssien kanavoimiseen päivittäisiin investointeihin strategisten investointien sijaan.

CISO:n on taivutettava huipputaulukon kollegansa tarkastelemaan kyberturvallisuutta strategisemmin, ja näin toimimalla he saavat parempia tuloksia. Suunniteltu turvallisuus ja oletusarvo on GDPR-sääntelyviranomaisten ja muiden edistämä paras käytäntö. Se tarkoittaa, että turvallisuusnäkökohdat on sisällytettävä uusiin liiketoimintahankkeisiin tai tuotteisiin heti niiden alkuvaiheessa sen sijaan, että niitä merkitään lopussa tai – mikä vielä pahempaa – tapahtuman jälkeen.

• Tapaa useammin

WEF:n mukaan yli puolet (56 %) CISO:sta kokoontuu nyt kuukausittain tai useammin hallituksensa kanssa. Tämä on suuri askel kohti hallituksen sisäänostoa turvallisuuden vuoksi, varsinkin kun otetaan huomioon uhkaympäristön nopeus. Keskinäisen ymmärryksen edistämiseksi on kuitenkin tehtävä enemmän. Yksi tapa on varmistaa, että CISO raportoi suoraan toimitusjohtajalle – näin varmistetaan, että tämä saa enemmän alttiutta kyberturvallisuudelle ja että tietoturvajohtaminen saa suorempaa palautetta liiketoiminnasta.

• Virallista kyberturvallisuusohjelmat

Liian monet kyberturvallisuusohjelmat ovat tilapäisiä ja teknisesti kohdennettuja. Sen sijaan ne tulee dokumentoida asianmukaisesti, mitata asiaankuuluviin KPI:ihin ja mittareihin ja muotoilla ylhäältä alas -rakenteessa. Tämä auttaa vahvistamaan kyberturvallisuuden roolia liiketoiminnassa.

• Palkkaa BISoja

Liiketoiminnan tietoturvavastaava (BISO) on erityinen osaston tai liiketoimintayksikön rooli, joka vastaa yhteydenpidosta sekä yrityksen että tietoturvatiimin kanssa. Näin tehdessään ne auttavat muuntamaan korkean tason strategian käytännön operatiivisiksi askeliksi. Siten he voivat luoda sellaisen tietoturvakulttuurin, johon jokaisen organisaation tulisi pyrkiä, ja näin tehdessään todistaa skeptisille johtokunnille, että tietoturva on sisällytettävä liiketoiminnan kaikkiin osiin.

Yhteenveto

WEF:n mukaan viimeaikainen geopoliittinen epävakaus on auttanut lähentämään CISO:n ja hallituksen näkemyksiä kyberriskien hallinnan tärkeydestä. Nykyään 91 % tästä yhdistyneestä yhteisöstä uskoo, että a kauaskantoinen, katastrofaalinen kybertapahtuma on jonkin verran todennäköistä seuraavan kahden vuoden aikana. Mutta matkaa on vielä jäljellä. Monille organisaatioille tämän erittäin tärkeän kokoushuoneen osallistumisen ja sisäänoston saaminen kestää kuukausia tai jopa vuosia. Ja mikä tärkeintä, se saattaa vaatia ajattelutavan muutosta paitsi yritysjohtajilta myös CISO:lta.