A kiberbiztonsági ipar több mint 15 éve beszél arról, hogy kommunikáljon a Igazgatóság. Bevett gyakorlat, hogy a szállítók e-könyveket, webináriumokat és prezentációkat tartanak arról, hogyan és mit mutassanak be a vezető információbiztonsági tisztek (CISO-k) a testületeiknek – amikor lehetőségük nyílik rá.
A lehetőségek hiánya mellett a CISO-k aggódhatnak az igazgatótanács előtti bemutatkozástól, mivel ők az egyetlen C-szintű vezetők, akiknek nincs saját eszközük mérje meg a ROI-t. A Salesforce-tól a Workday-n át a Marketo-ig a C-suite vezetői platformmegoldásokkal rendelkeznek, amelyek a művelet minden aspektusát összesítik, elemzik és jelentéseket készítenek. A CISO számára nincs ilyen megoldás, ami megnehezíti a biztonsági program ROI mérését vagy az üzleti érték kimutatását.
Az irónia az, hogy a bemutatás iránti érdeklődés ellenére alábecsülés azt állítani, hogy a kiberbiztonság nem az igazgatótanács alapvető kompetenciája. WSJ Pro kiberbiztonsági kutatás megvizsgálta az S&P 500 igazgatótanácsának összes tagjának szakmai hátterét, és megállapította, hogy kevesebb mint 2%-uk volt „releváns szakmai tapasztalattal a kiberbiztonság terén az elmúlt 10 évben”.
Nem számít, ki vagy, nehéz nagy érdeklődést kelteni valami iránt, amit nem értesz. Vagyis amíg nem motivál a tanulásra. Az Értékpapír- és Tőzsdefelügyelet (SEC) jóvoltából, ami most előttünk van, az egy nagyszerű ébredés a testületek és a kiberbiztonság számára.
Szerint Harvard Business Review„Egy javasolt SEC-szabály megköveteli majd a vállalatoktól, hogy hozzák nyilvánosságra kiberbiztonsági irányítási képességeiket, beleértve a kiberkockázatok igazgatótanácsának felügyeletét, a vezetésnek a kiberkockázatok felmérésében és kezelésében betöltött szerepének leírását, az ilyen menedzsment vonatkozó szakértelmét, valamint a menedzsment szerepét a vállalati kockázatok végrehajtásában. kiberbiztonsági politikák, eljárások és stratégiák.”
Azt várnám, hogy több testület keressen tapasztalt, kiberbiztonsági háttérrel rendelkező vezetőket, már most. Addig is mit jelent ez a CISO-k számára?
Nagy lehetőség
Ha hirtelen érdeklődik a kiberbiztonság iránt, de kevés ismerete van róla, az, amit az igazgatósági tagok tudni akarnak, és amit tudniuk kell, egészen más lehet. Például túlságosan a legújabb támadásra összpontosítva a címszavakban, vagy túlzottan a megfelelésre. A tesztre való tanításhoz hasonlóan a megfelelés elérése jó lépés lehet a helyes irányba, de nem mindig egyenlő a lehető legjobb biztonsági intézkedések megvalósítására való törekvéssel. Amikor a megfelelőség elérése válik a biztonsági céllá a kockázat minimalizálása és a legkritikusabb eszközök védelme helyett, akkor eltévesztjük a lényeget.
Micsoda lehetőség a CISO számára, hogy létrehozza szervezetük számára a „kiberbiztonság mint üzletág” narratívát. A helyed a tanácsteremben most biztosított. Az időnkénti egyszeri frissítések helyett most már folyamatosan részt vesz az üzleti beszélgetésben. Ez egy lehetőség arra, hogy a kiberbiztonságot az igazgatótanács által megértett üzleti döntések kontextusába helyezzük. Kerülje el a rövidítéseket és a fenyegetésekről, sebezhetőségekről és támadásokról szóló technikai beszédet. Legyen folyékonyan az üzleti élet nyelve, és beszéljen a mindennapi üzleti döntések kiberkövetkezményeiről.
A hibrid munkakörnyezetben dolgozók termelékenységét fokozó SaaS-alkalmazások a szervezetet is nagyobb kockázatnak teszik ki, mivel a kritikus üzleti adatok immár harmadik fél kezében vannak. A földrajzi terjeszkedést előmozdító üzleti partnerségek, az új alkalmazások lehető leggyorsabb piacra juttatása a piaci részesedés megszerzése érdekében, vagy a mérnöki csapat méretarányos megszerzése, mind óriási kiberbiztonsági következményekkel járnak. Például, amikor felvásárol egy céget, annak támadási felületét is örökli. Nemcsak az alkalmazottak új csoportjának van szüksége a vállalati erőforrásokhoz, hanem az összes vállalkozónak, partnernek, beszállítónak stb. Összekapcsolt eszközök és következmények kusza, kiterjesztett digitális hálója.
A biztonsági vezetőknek azt tanácsolják, hogy a kiberbiztonságot kézzelfoghatóvá tegyék üzleti környezetben. Az üzlet bármely más részéhez hasonlóan itt is meg kell hozni a döntéseket, és meg kell fontolni a kompromisszumokat, amelyek mind azzal kapcsolatosak, hogy mekkora az elfogadható kockázati szint, amelynek a szervezet hajlandó kitenni magát.
Automatizálás és bizonyíték
A SEC szemében az igazgatóságnak bizonyítékra van szüksége arról, hogy milyen eszközökért felelős, és hogyan figyelik és védik proaktívan. Sértés esetén mikor tudott róla a testület, és milyen gyorsan reagált és közölte az esetet?
Ez azzal kezdődik, hogy tudod, mit védel, és hogyan teszed ezt. A kritikus eszközök felfedezése olyan alapvető kompetenciává válik, amely megalapozza a láthatóságot, az osztályozást és a helyreállítási erőfeszítéseket egy modern kiberbiztonsági programban. A felderítést és az osztályozást automatizálni kell, hogy kezelni lehessen az adatok és a vállalathoz kapcsolódó eszközök méretét, mozgását és növekedését hibrid felhők, SaaS-partnerek és digitális ellátási láncok között. A védelem ennek a kiterjedt támadási felületnek a teljes láthatóságával kezdődik, beleértve az összes függőséget, kapcsolatot és sebezhetőséget az összes nyilvános eszközön. Innentől kezdve előnyben részesítheti a legértékesebb eszközeit érintő legkritikusabb fenyegetésekkel szembeni védelmet.
Az automatikus felderítés a nyugvó, nem használt és szükségtelen eszközöket is azonosíthatja. Ily módon hatékonyan le lehet szerelni, hogy csökkentsék kiberkockázat és egyszerre támadja meg a felszíni terjeszkedést.
Következtetés
Nem most van itt az ideje, hogy felvilágosítsuk a fórumot a rosszindulatú programok és a zsarolóprogramok közötti különbségről. Arról van szó, hogy teljes képet festünk a fenyegetettségről, valamint a szervezet előtt álló konkrét kockázatokról és kitettségekről. A CISO-knak beszélniük kell az átfogó biztonsági programról és a stratégiai kezdeményezésekről, amelyek lehetővé teszik az üzletet, miközben mérik és csökkentik a kockázatokat.
Segítsen az igazgatótanácsnak megérteni, hol sebezhető a vállalkozás, hol ér véget az ellenőrzés, és hol kezdődik a nyilvánosság. Melyek a következmények és a védekezési lehetőségek? Végső soron a kiberbiztonság olyan üzleti kihívás, mint az árrések és a piaci részesedés növekedése. Az üzleti célokhoz igazodó stratégiai prioritások és befektetések. Olyan egyszerűen hangzik.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. Hozzáférés itt.
- Forrás: https://www.darkreading.com/risk/the-board-of-directors-will-see-you-now
- :is
- ][p
- 10
- 15 év
- 2%
- a
- Rólunk
- erről
- elfogadható
- hozzáférés
- elérése
- szerez
- megszerzése
- át
- ellen
- összesítés
- igazított
- Minden termék
- mindig
- elemzése
- és a
- Szorongás
- alkalmazások
- VANNAK
- AS
- megjelenés
- értékelése
- Eszközök
- At
- támadás
- Támadások
- Automatizált
- háttér
- alap
- BE
- mert
- válik
- hogy
- BEST
- között
- bizottság
- Igazgatóság
- megsértése
- üzleti
- C-lakosztály
- TUD
- képességek
- elfog
- láncok
- kihívás
- esély
- fő
- CISO
- besorolás
- jutalék
- Közös
- kommunikáció
- Companies
- vállalat
- teljes
- teljesítés
- összefüggő
- kapcsolat
- Következmények
- Fontolja
- kontextus
- vállalkozók
- ellenőrzés
- ellenőrzések
- Beszélgetés
- Mag
- teremt
- kritikai
- cyber
- Kiberbiztonság
- dátum
- nap
- üzlet
- határozatok
- bizonyítani
- Függőség
- leírás
- Ellenére
- DID
- különbség
- különböző
- nehéz
- digitális
- irány
- igazgatók
- nyilvánosságra
- felfedezés
- Ennek
- hajtás
- oktat
- hatékonyan
- erőfeszítések
- alkalmazottak
- lehetővé
- Mérnöki
- Vállalkozás
- Környezet
- esemény
- Minden
- minden nap
- bizonyíték
- példa
- csere
- vezetők
- terjeszkedés
- vár
- tapasztalat
- tapasztalt
- szakvélemény
- kitett
- Exponálás
- Szemek
- néző
- GYORS
- összpontosítás
- A
- talált
- ból ből
- front
- földrajzi
- kap
- cél
- jó
- kormányzás
- nagy
- Csoport
- Növekvő
- Növekedés
- Legyen
- Headlines
- Hogyan
- HTTPS
- hibrid
- Hibrid munka
- azonosítani
- végre
- végrehajtási
- következményei
- in
- incidens
- Beleértve
- ipar
- információ
- információ biztonság
- kezdeményezések
- helyette
- kamat
- Beruházások
- IT
- ITS
- maga
- jpg
- Ismer
- Ismerve
- tudás
- hiány
- táj
- nyelv
- keresztnév
- legutolsó
- vezetők
- TANUL
- szint
- mint
- kis
- keres
- készült
- csinál
- Gyártás
- malware
- vezetés
- kezelése
- margók
- piacára
- Anyag
- Addig
- intézkedés
- intézkedések
- mérő
- Partnerek
- esetleg
- minimalizálása
- modern
- ellenőrizni
- több
- a legtöbb
- motivált
- mozgalom
- ELBESZÉLÉS
- Szükség
- igények
- Új
- célok
- alkalmi
- of
- tisztviselők
- on
- folyamatban lévő
- működés
- Alkalom
- Opciók
- szervezet
- Más
- átfogó
- Felügyelet
- saját
- rész
- partnerek
- partnerségek
- párt
- kép
- Hely
- emelvény
- Plató
- Platón adatintelligencia
- PlatoData
- pont
- Politikák
- lehetséges
- gyakorlat
- be
- Előadások
- Fontossági sorrendet
- per
- eljárások
- termelő
- szakmai
- Program
- javasolt
- védett
- védelme
- védelem
- ransomware
- RE
- csökkenteni
- csökkentő
- összefüggő
- Jelentő
- szükség
- Tudástár
- Reagálni
- felelős
- Kockázat
- kockázatok
- ROI
- Szerep
- Szabály
- s
- S&P
- S&P 500
- SaaS
- értékesítési erő
- azonos
- Skála
- SEC
- biztosított
- Értékpapír
- Értékpapír- és Tőzsdebizottság
- biztonság
- Megosztás
- kellene
- Egyszerű
- Méret
- So
- megoldások
- Megoldások
- valami
- különleges
- Kezdve
- kezdődik
- Lépés
- Stratégiai
- stratégiák
- ilyen
- hirtelen
- szállítók
- kínálat
- Ellátási láncok
- felületi
- Beszél
- beszéd
- Tanítási
- csapat
- Műszaki
- teszt
- hogy
- A
- azok
- Őket
- Harmadik
- fenyegetés
- fenyegetések
- idő
- nak nek
- is
- szerszám
- borzasztó
- megért
- megérti
- felhasználatlan
- Frissítések
- us
- használ
- Értékes
- érték
- Ve
- gyártók
- Ellen
- láthatóság
- sérülékenységek
- sebezhetőség
- Sebezhető
- Út..
- háló
- Webinárium
- JÓL
- Mit
- Mi
- míg
- WHO
- lesz
- hajlandó
- val vel
- nélkül
- Munka
- Munkanap
- lenne
- WSJ
- év
- te
- A te
- zephyrnet