Depuis plus de 15 ans, l'industrie de la cybersécurité parle de communiquer avec les conseil d'administration. Il est courant pour les fournisseurs d'avoir des livres électroniques, des webinaires et des présentations sur comment et ce que les responsables de la sécurité de l'information (CISO) doivent présenter à leurs conseils d'administration - quand ils en ont l'occasion.
Outre le manque d'opportunités, les RSSI peuvent avoir peur de se présenter au conseil d'administration, car ils sont les seuls cadres de niveau C sans outil propre pour mesurer le retour sur investissement. De Salesforce à Workday en passant par Marketo, les dirigeants de la suite C disposent de solutions de plate-forme qui regroupent, analysent et génèrent des rapports sur tous les aspects de l'opération. Il n'existe pas de solution de ce type pour le RSSI, ce qui complique la mesure du retour sur investissement du programme de sécurité ou la démonstration de la valeur commerciale.
L'ironie est que, malgré tout l'intérêt à leur présenter, dire que la cybersécurité n'est pas une compétence de base du conseil est un euphémisme. Recherche sur la cybersécurité WSJ Pro a enquêté sur les antécédents professionnels de tous les membres du conseil d'administration du S&P 500 et a constaté que moins de 2 % « avaient une expérience professionnelle pertinente en cybersécurité au cours des 10 dernières années ».
Peu importe qui vous êtes, il est difficile d'avoir un grand intérêt pour quelque chose que vous ne comprenez pas. Autrement dit, jusqu'à ce que vous soyez motivé pour apprendre. Ce que nous avons devant nous maintenant est un grand réveil pour les conseils d'administration et la cybersécurité, grâce à la Securities and Exchange Commission (SEC).
Selon Harvard Business Review, "une règle proposée par la SEC obligera les entreprises à divulguer leurs capacités de gouvernance de la cybersécurité, y compris la surveillance du risque cyber par le conseil d'administration, une description du rôle de la direction dans l'évaluation et la gestion des risques cyber, l'expertise pertinente de cette direction et le rôle de la direction dans la mise en œuvre de la stratégie de l'entreprise. politiques, procédures et stratégies de cybersécurité.
Je m'attendrais à ce que davantage de conseils d'administration recherchent des cadres expérimentés ayant une formation en cybersécurité, dès maintenant. En attendant, qu'est-ce que cela signifie pour les RSSI ?
Une excellente occasion
Avec un intérêt soudain pour la cybersécurité, mais peu de connaissances à ce sujet, ce que les membres du conseil d'administration veulent savoir par rapport à ce qu'ils doivent savoir peut être très différent. Par exemple, se concentrer trop sur la dernière attaque dans les gros titres ou se concentrer trop sur la conformité. Tout comme l'enseignement jusqu'au test, atteindre la conformité peut être un bon pas dans la bonne direction, mais n'est pas toujours la même chose que s'efforcer de mettre en œuvre les meilleures mesures de sécurité possibles. Lorsque la conformité devient l'objectif de sécurité au lieu de minimiser les risques et de protéger les actifs les plus critiques, nous sommes passés à côté.
Quelle opportunité pour le RSSI de créer un récit de « la cybersécurité en tant que catalyseur commercial » pour son organisation. Votre place dans la salle de conférence est désormais sécurisée. Au lieu d'une mise à jour ponctuelle occasionnelle, vous faites désormais partie de la conversation commerciale sur une base continue. C'est l'occasion de placer la cybersécurité dans le contexte des décisions commerciales que le conseil comprend. Abandonnez les acronymes et les discussions techniques sur les menaces, les vulnérabilités et les attaques. Parlez couramment le langage des affaires et parlez des cyberconséquences des décisions commerciales qui sont prises chaque jour.
L'utilisation d'applications SaaS qui rendent les employés plus productifs dans un environnement de travail hybride laisse également l'organisation plus exposée aux risques, car les données critiques de l'entreprise sont désormais sous le contrôle d'un tiers. Les partenariats commerciaux qui stimulent l'expansion géographique, la mise sur le marché de nouvelles applications le plus rapidement possible pour conquérir des parts de marché ou l'acquisition pour faire évoluer l'équipe d'ingénierie ont tous d'énormes conséquences sur la cybersécurité. Par exemple, lorsque vous rachetez une entreprise, vous héritez également de sa surface d'attaque. Ce n'est pas seulement un nouveau groupe d'employés qui a besoin d'accéder aux ressources de l'entreprise, mais tous leurs sous-traitants, partenaires, fournisseurs, etc. Il s'agit d'un réseau numérique étendu et enchevêtré d'actifs et d'implications connectés.
Les responsables de la sécurité seraient bien avisés de rendre la cybersécurité tangible dans un contexte commercial. Comme toute autre partie de l'entreprise, il y a des décisions à prendre et des compromis à considérer, tous liés au niveau de risque acceptable auquel l'organisation est prête à s'exposer.
Automatisation et preuves
Sous les yeux de la SEC, le conseil d'administration a besoin de preuves sur les actifs dont il est responsable et sur la manière dont ils sont surveillés et protégés de manière proactive. En cas d'infraction, quand le conseil en a-t-il eu connaissance et à quelle vitesse a-t-il réagi et divulgué l'incident ?
Cela commence par savoir ce que vous protégez et comment vous le faites. La découverte d'actifs critiques devient une compétence essentielle qui sous-tend les efforts de visibilité, de classification et de correction dans un programme de cybersécurité moderne. La découverte et la classification doivent être automatisées pour gérer la taille, le mouvement et la croissance des données et des actifs connectés à l'entreprise dans les clouds hybrides, les partenaires SaaS et les chaînes d'approvisionnement numériques. La protection commence par une visibilité complète de cette surface d'attaque tentaculaire, y compris toutes les dépendances, connexions et vulnérabilités sur tous les actifs publics. À partir de là, vous pouvez hiérarchiser les protections contre les menaces les plus critiques pour vos actifs les plus précieux.
La découverte automatisée peut également identifier les ressources inactives, inutilisées et inutiles. De cette façon, ils peuvent être efficacement mis hors service pour réduire cyber-risque et attaquer l'étalement de la surface en même temps.
Conclusion
Ce n'est pas le moment d'éduquer le conseil d'administration sur la différence entre les logiciels malveillants et les rançongiciels. Il s'agit de brosser un tableau complet du paysage des menaces et des risques et expositions spécifiques auxquels l'organisation est confrontée. Les RSSI devraient parler du programme de sécurité global et des initiatives stratégiques pour permettre à l'entreprise de mesurer et de réduire les risques.
Aidez le conseil à comprendre où l'entreprise est vulnérable, où s'arrêtent les contrôles et où commence l'exposition. Quelles sont les conséquences et les options de protection ? En fin de compte, la cybersécurité est un défi commercial, tout comme la croissance des marges et des parts de marché. Priorités stratégiques et investissements alignés sur les objectifs commerciaux. Cela semble si simple.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- Platoblockchain. Intelligence métaverse Web3. Connaissance Amplifiée. Accéder ici.
- La source: https://www.darkreading.com/risk/the-board-of-directors-will-see-you-now
- :est
- ][p
- 10
- 15 ans
- 2%
- a
- Qui sommes-nous
- à propos de ça
- acceptable
- accès
- la réalisation de
- acquérir
- acquisition
- à travers
- à opposer à
- agréger
- aligné
- Tous
- toujours
- l'analyse
- ainsi que le
- Anxiété, Stress
- applications
- SONT
- AS
- d'aspect
- Évaluation
- Outils
- At
- attaquer
- Attaques
- Automatisation
- fond
- base
- BE
- car
- devient
- va
- LES MEILLEURS
- jusqu'à XNUMX fois
- planche
- conseil d'administration
- violation
- la performance des entreprises
- C-suite
- CAN
- capacités
- capturer
- Chaînes
- challenge
- Chance
- chef
- CISO
- classification
- commission
- Commun
- communicant
- Sociétés
- Société
- complet
- conformité
- connecté
- connexion
- Conséquences
- Considérer
- contexte
- entrepreneurs
- des bactéries
- contrôles
- Conversation
- Core
- engendrent
- critique
- cyber
- Cybersécurité
- données
- journée
- affaire
- décisions
- démontrer
- Dépendance
- la description
- Malgré
- DID
- différence
- différent
- difficile
- numérique
- direction
- Administration
- Divulguer
- découverte
- faire
- motivation
- éduquer
- de manière efficace
- efforts
- employés
- permettre
- ENGINEERING
- Entreprise
- Environment
- événement
- Chaque
- tous les jours
- preuve
- exemple
- échange
- cadres
- avec des données
- attendre
- d'experience
- expérimenté
- nous a permis de concevoir
- exposé
- Exposition
- Yeux
- RAPIDE
- mettant l'accent
- Pour
- trouvé
- De
- avant
- géographique
- obtenez
- objectif
- Bien
- gouvernance
- l'
- Réservation de groupe
- Croissance
- Croissance
- Vous avez
- Titres
- Comment
- HTTPS
- Hybride
- Travail hybride
- identifier
- Mettre en oeuvre
- la mise en œuvre
- implications
- in
- incident
- Y compris
- industrie
- d'information
- sécurité de l'information
- les initiatives
- plutôt ;
- intérêt
- Investissements
- IT
- SES
- lui-même
- jpg
- Savoir
- connaissance
- spécialisées
- Peindre
- paysage d'été
- langue
- Nom de famille
- Nouveautés
- dirigeants
- APPRENTISSAGE
- Niveau
- comme
- peu
- recherchez-
- LES PLANTES
- a prendre une
- Fabrication
- malware
- gestion
- les gérer
- marges
- Marché
- Matière
- entre-temps
- mesurer
- les mesures
- mesure
- Membres
- pourrait
- réduisant au minimum
- Villas Modernes
- surveillé
- PLUS
- (en fait, presque toutes)
- motivés
- mouvement
- RÉCIT
- Besoin
- Besoins
- Nouveauté
- objectifs
- occasionnel
- of
- les officiers
- on
- en cours
- opération
- Opportunités
- Options
- organisation
- Autre
- global
- Surveillance
- propre
- partie
- partenaires,
- partenariats
- fête
- image
- Place
- plateforme
- Platon
- Intelligence des données Platon
- PlatonDonnées
- Point
- politiques
- possible
- pratique
- représentent
- Présentations
- Prioriser
- Pro
- procédures
- productif
- professionels
- Programme
- proposé
- protégé
- L'utilisation de sélénite dans un espace est un excellent moyen de neutraliser l'énergie instable ou négative.
- protection
- ransomware
- RE
- réduire
- réduire
- en relation
- pertinent
- Rapports
- exigent
- Resources
- Réagir
- responsables
- Analyse
- risques
- ROI
- Rôle
- Règle
- s
- S & P
- S & P 500
- SaaS.
- force de vente
- même
- Escaliers intérieurs
- SEC
- sécurisé
- titres
- Securities and Exchange Commission
- sécurité
- Partager
- devrait
- étapes
- Taille
- So
- sur mesure
- Solutions
- quelque chose
- groupe de neurones
- Commencez
- départs
- étapes
- Stratégique
- les stratégies
- tel
- soudain
- fournisseurs
- la quantité
- Des chaînes d'approvisionnement
- Surface
- discutons-en
- parlant
- Enseignement
- équipe
- Technique
- tester
- qui
- Les
- leur
- Les
- Troisièmement
- menace
- des menaces
- fiable
- à
- trop
- outil
- énorme
- comprendre
- comprend
- inutilisé
- Mises à jour
- us
- utilisé
- Précieux
- Plus-value
- Ve
- fournisseurs
- Versus
- définition
- vulnérabilités
- vulnérabilité
- Vulnérable
- Façon..
- web
- Webinaires
- WELL
- Quoi
- Qu’est ce qu'
- tout en
- WHO
- sera
- prêt
- comprenant
- sans
- activités principales
- Journée de travail
- pourra
- WSJ
- années
- Vous n'avez
- Votre
- zéphyrnet
