6 lépés az alaplap beépítéséhez a kiberbiztonsági programba

Üzleti biztonság

Hogyan tudnak a CISO-k és társaik jobban együttműködni a testületekkel, hogy hosszú távú részvételt szerezzenek a stratégiai kezdeményezésekhez

Phil Muncaster

Október 11 2023  •  , 4 perc olvas

Egy biztonságosabb digitális világ felépítése több fronton is cselekvést igényel. Olyan kezdeményezések, mint A kiberbiztonság tudatosításának hónapja (CSAM) nagyszerű lehetőséget kínálnak arra emlékeztetni a nagyközönséget a fontos bevált gyakorlatokra mert jelszókezelés, sebezhetőség javítása és több. Ám bár ez megnehezítheti a fogyasztókat megcélzó kiberbűnözők életét, még mindig lehetőség nyílik arra, hogy felhívják az üzleti vezetők figyelmét a kiberkockázatokra.

Az USA-ban, ott negyedéves növekedése 114 százalék volt 2 második negyedévében a nyilvánosan jelentett adatsérülések során, ami újabb rekordhoz vezet az évet. Európában az EU biztonsági ügynöksége Az ENISA 2022-ben figyelmeztetett a nulladik napi kizsákmányolások, a zsarolóvírusok, mint szolgáltatás, a bérbeadó hackerek, ellátási lánc támadások és social engineering. Ennek megbirkózása végső soron a CISO feladata. De ahhoz, hogy ez a szerep hatékony legyen, megfelelő támogatásra van szüksége a testülettől. Ez az oka annak, hogy olyan fontos, hogy elkötelezzék magukat a projektekbe.

Az IT-tábla igazítása felé

Gyakran van valami szakadás az üzleti vezetés és az informatikai és kiberstratégiáért felelős személyek között. Általánosságban elmondható, hogy a biztonság felfogása az, hogy távol kell tartani a kiberfenyegetéseket, de nem sokkal többet. Ez azt jelenti, hogy sok testület továbbra is szükséges költségnek tekinti az informatikát és a kiberbiztonságot, de nem járul hozzá a bevételhez – és semmiképpen sem az üzleti életet elősegítő tényező.

A végeredmény az, hogy bár Gartner megjósolja A biztonságra és kockázatkezelésre fordított globális kiadások több mint 11%-kal, 2023 milliárd dollárra nőnek 188-ban, nem feltétlenül költik el ésszerűen. A leválasztott táblák általában részlegesen és reaktív módon szabadítják fel a költségvetést, például szabálysértést követően. Ez rossz eredményekhez vezethet, és pontszerű megoldások felhalmozódásához vezethet, amelyek végül rossz ár-érték arányt mutatnak.

Valójában szerint a egy tanulmány, a biztonsági döntéshozók mindössze kétötöde (39%) hiszi el, hogy vállalatuk vezetése valóban megérti a kiberbiztonság szerepét az üzleti sikerben. Hasonló arányt (36%) csak a megfelelési követelmények szemszögéből nézünk. Hogyan tudnak tehát a CISO-k és társaik jobban együttműködni a testületekkel, hogy hosszú távú részvételt szerezzenek a stratégiai kezdeményezésekhez?

Íme hat javaslat:

• Beszéljen a megfelelő nyelven

Meg kell érteni az első lépést a jobb kiber-üzleti összehangolás felé. Ez azt jelenti, hogy nem bitekről és bájtokról és bonyolult technológiai részletekről beszélünk, hanem az üzleti kockázatról. Ez megkönnyíti az igazgatótanácsi vezetők bevonását, és egy adott stratégiai kezdeményezéshez való részvételt. Mondja el nekik, hogy egy ransomware támadás 200 szervert offline állapotba hozhat, és azt gondolhatják, hogy „na és mi van?” De magyarázza el, hogy ez egy hét leállást okozhat költséggel 400,000 XNUMX dollár óránként, és a reakció nagyon eltérő lesz.   

• Mérje meg a kockázatot, és tegye relevánssá

A mindkét fél által értett nyelven folytatott beszélgetés része az adatok megosztása olyan mérőszámok alapján, amelyek a kiberbiztonsági információkat az igazgatótanács és az üzleti élet számára fontos mérésekké alakítják. A figyelembe veendő területek olyan mérőszámok, amelyek a meglévő biztonsági ellenőrzések teljesítményét és hatékonyságát mutatják – annak szemléltetésére, hogy hol működnek jól a dolgok, és mely területeken van szükség fejlesztésre. Ezek nyomon követése az idő múlásával további hatást fog eredményezni, csakúgy, mint az iparági benchmarkokkal való összehasonlítás.

Amikor ezeket bemutatja a testületnek, legyen a dolog egyszerű és magas szintű. De ne félj felhasználni anekdotikus történeteket a cégtől, hogy hazahozz egy pontot.

• Tervezés és alapértelmezett biztonság előmozdítása

Szerint Világgazdasági Fórum (WEF) szerint a cégvezetők 43%-a valószínűnek tartja, hogy a következő két évben egy kibertámadás „érdemben érinti” szervezetüket. Jóllehet pozitív dolog, hogy értékelik a kiberkockázat súlyát, ez azt a tanácstermi gondolkodásmódot is tükrözi, amely egyre inkább az erőforrásokat a napi, mint a stratégiai befektetésekre irányítja.

A CISO-nak rá kell vennie az első helyen álló társait, hogy stratégiailag tekintsenek a kiberbiztonságra, és ezáltal jobb eredményeket érjenek el. Tervezett biztonság és az alapértelmezett a GDPR szabályozók és mások által támogatott legjobb gyakorlat. Ez azt jelenti, hogy a biztonsági megfontolásokat az új üzleti kezdeményezésekbe vagy termékekbe már az elején be kell építeni, nem pedig a végén, vagy – ami még rosszabb – egy incidens után.

• Találkozz gyakrabban

A WEF szerint a CISO-k több mint fele (56%) ma már havonta vagy gyakrabban találkozik igazgatótanácsával. Ez egy nagyszerű lépés a fedélzeti nevezési díj megszerzése felé a biztonság érdekében, különös tekintettel a fenyegetettségi környezet fejlődésének sebességére. A kölcsönös megértés előmozdítása érdekében azonban többet kell tenni. Ennek egyik módja annak biztosítása, hogy a CISO közvetlenül a vezérigazgatónak jelentsen – így biztosítva, hogy az utóbbi jobban ki legyen téve a kiberbiztonságnak, és hogy a biztonsági vezetés közvetlenebb visszajelzést kapjon a vállalkozástól.

• Formalizálja a kiberbiztonsági programokat

Túl sok kiberbiztonsági program ad hoc és technikailag fókuszált. Ehelyett ezeket megfelelően dokumentálni kell, a releváns KPI-khez és mérőszámokhoz kell mérni, és felülről lefelé irányuló struktúrában kell formalizálni. Ez segít megerősíteni a kiberbiztonság szerepét az üzletben.

• Bérelj fel néhány BISO-t

Az üzleti információbiztonsági tiszt (BISO) egy meghatározott osztály vagy üzleti egység szerepköre, amely mind az üzlettel, mind a biztonsági csapattal való kapcsolattartásért felelős. Ezáltal elősegítik, hogy a magas szintű stratégiát gyakorlati műveleti lépésekké alakítsák. Így létrehozhatják azt a beépített biztonság-kultúrát, amelyre minden szervezetnek törekednie kell, és ezzel bebizonyíthatják a szkeptikus testületek számára, hogy a biztonságot az üzlet minden részébe be kell ágyazni.

Következtetés

A WEF szerint a közelmúlt geopolitikai instabilitása hozzájárult ahhoz, hogy a CISO és az igazgatóság nézetei közelebb kerüljenek egymáshoz a kiberkockázat-kezelés fontosságáról. Ma ennek az egyesített közösségnek 91%-a úgy gondolja, hogy a nagy horderejű, katasztrofális kiberesemény némileg valószínű a következő két évben. De van még mit tenni. Sok szervezet számára hónapok vagy akár évek munkája lesz ennek a rendkívül fontos tanácsteremben való részvételnek és részvételnek a megszerzése. És ami a legfontosabb, nem csak az üzleti vezetőktől, hanem a CISO-któl is gondolkodásmódváltásra lehet szükség.