Per più di 15 anni, l'industria della sicurezza informatica ha parlato di comunicare con il Consiglio di Amministrazione. È pratica comune per i fornitori tenere e-book, webinar e presentazioni su come e cosa i CISO (Chief Information Security Officer) dovrebbero presentare ai loro consigli di amministrazione, quando ne hanno la possibilità.
Insieme alla mancanza di opportunità, i CISO potrebbero essere ansiosi di presentare al consiglio perché sono gli unici dirigenti di livello C senza uno strumento proprio per misurare il ROI. Da Salesforce a Workday a Marketo, i dirigenti C-suite dispongono di soluzioni di piattaforma che aggregano, analizzano e generano report su ogni aspetto dell'operazione. Non esiste una soluzione di questo tipo per il CISO, il che rende più difficile misurare il ROI del programma di sicurezza o dimostrare il valore aziendale.
L'ironia è che, nonostante tutto l'interesse nel presentare loro, dire che la sicurezza informatica non è una competenza fondamentale del consiglio è un eufemismo. WSJ Pro ricerca sulla sicurezza informatica ha esaminato il background professionale di tutti i membri del consiglio di amministrazione di S&P 500 e ha scoperto che meno del 2% "ha avuto un'esperienza professionale rilevante nella sicurezza informatica negli ultimi 10 anni".
Non importa chi tu sia, è difficile avere un grande interesse per qualcosa che non capisci. Cioè, fino a quando non sei motivato a imparare. Quello che abbiamo di fronte ora è un grande risveglio per i consigli di amministrazione e la sicurezza informatica, per gentile concessione della Securities and Exchange Commission (SEC).
Secondo Harvard Business Review, "una norma SEC proposta richiederà alle aziende di rivelare le proprie capacità di governance della sicurezza informatica, compresa la supervisione del rischio informatico da parte del consiglio, una descrizione del ruolo della direzione nella valutazione e nella gestione dei rischi informatici, la competenza pertinente di tale direzione e il ruolo della direzione nell'attuazione delle norme dell'azienda politiche, procedure e strategie di sicurezza informatica”.
Mi aspetto che più consigli di amministrazione cerchino dirigenti esperti con esperienza nella sicurezza informatica, a partire da ora. Nel frattempo, cosa significa questo per i CISO?
Una grande opportunità
Con un improvviso interesse per la sicurezza informatica, ma poca conoscenza di essa, ciò che i membri del consiglio vogliono sapere rispetto a ciò che hanno bisogno di sapere potrebbe essere molto diverso. Ad esempio, concentrarsi troppo sull'ultimo attacco nei titoli o concentrarsi troppo sulla conformità. Come insegnare alla prova, raggiungere la conformità può essere un buon passo nella giusta direzione, ma non sempre equivale a sforzarsi di implementare le migliori misure di sicurezza possibili. Quando raggiungere la conformità diventa l'obiettivo della sicurezza invece di ridurre al minimo i rischi e proteggere le risorse più critiche, non abbiamo colto il punto.
Che opportunità per il CISO di creare una narrativa sulla "sicurezza informatica come fattore abilitante per il business" per la propria organizzazione. Il tuo posto nella sala riunioni è ora assicurato. Invece dell'occasionale aggiornamento una tantum, ora fai parte della conversazione di lavoro su base continuativa. Questa è un'opportunità per inserire la sicurezza informatica nel contesto delle decisioni aziendali che il consiglio comprende. Abbandona acronimi e discorsi tecnici su minacce, vulnerabilità e attacchi. Parla fluentemente il linguaggio degli affari e parla delle conseguenze informatiche delle decisioni aziendali che vengono prese ogni giorno.
L'uso di app SaaS che rendono i dipendenti più produttivi in un ambiente di lavoro ibrido lascia anche l'organizzazione più esposta al rischio, poiché i dati aziendali critici sono ora sotto il controllo di una terza parte. Le partnership commerciali che guidano l'espansione geografica, l'introduzione rapida di nuove app sul mercato il più rapidamente possibile per acquisire quote di mercato o l'acquisizione per ampliare il team di ingegneri hanno tutte enormi conseguenze sulla sicurezza informatica. Ad esempio, quando acquisisci un'azienda, erediti anche la sua superficie di attacco. Non è solo un nuovo gruppo di dipendenti che ha bisogno di accedere alle risorse aziendali, ma tutti i loro appaltatori, partner, fornitori e così via. È una rete digitale intricata ed estesa di risorse e implicazioni connesse.
I responsabili della sicurezza farebbero bene a rendere la sicurezza informatica tangibile in un contesto aziendale. Come ogni altra parte dell'azienda, ci sono decisioni da prendere e compromessi da considerare, tutti legati a qual è il livello di rischio accettabile a cui l'organizzazione è disposta a esporsi.
Automazione e evidenza
Sotto gli occhi della SEC, il consiglio ha bisogno di prove di quali risorse è responsabile e di come viene monitorato e protetto in modo proattivo. In caso di violazione, quando il consiglio ne è venuto a conoscenza e quanto velocemente ha risposto e rivelato l'incidente?
Inizia con il sapere cosa stai proteggendo e come lo stai facendo. La scoperta di risorse critiche diventa una competenza fondamentale che sostiene gli sforzi di visibilità, classificazione e correzione in un moderno programma di sicurezza informatica. La scoperta e la classificazione devono essere automatizzate per gestire le dimensioni, il movimento e la crescita dei dati e delle risorse connesse all'azienda attraverso cloud ibridi, partner SaaS e supply chain digitali. La protezione inizia con la visibilità completa di questa superficie di attacco tentacolare, inclusa ogni dipendenza, connessione e vulnerabilità in tutte le risorse rivolte al pubblico. Da lì, puoi dare la priorità alle protezioni contro le minacce più critiche per le tue risorse più preziose.
La scoperta automatizzata può anche identificare le risorse dormienti, inutilizzate e non necessarie. In questo modo, possono essere effettivamente disattivati per ridurre cyber-rischio e attaccare l'espansione incontrollata della superficie allo stesso tempo.
Conclusione
Ora non è il momento di istruire il consiglio sulla differenza tra malware e ransomware. Si tratta di dipingere un quadro completo del panorama delle minacce e dei rischi specifici e delle esposizioni che l'organizzazione deve affrontare. I CISO dovrebbero parlare del programma di sicurezza generale e delle iniziative strategiche per abilitare l'azienda misurando e riducendo i rischi.
Aiuta il consiglio di amministrazione a capire dove l'azienda è vulnerabile, dove finiscono i controlli e dove inizia l'esposizione. Quali sono le conseguenze e le opzioni di protezione? Alla fine della giornata, la sicurezza informatica è una sfida aziendale, come la crescita dei margini e della quota di mercato. Priorità strategiche e investimenti allineati agli obiettivi di business. Sembra così semplice.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
- Fonte: https://www.darkreading.com/risk/the-board-of-directors-will-see-you-now
- :È
- ][P
- 10
- 15 anni
- 2%
- a
- Chi siamo
- a proposito
- accettabile
- accesso
- il raggiungimento
- acquisire
- l'acquisizione di
- operanti in
- contro
- aggregando
- Allineati
- Tutti
- sempre
- l'analisi
- ed
- Ansia
- applicazioni
- SONO
- AS
- aspetto
- valutare
- Attività
- At
- attacco
- attacchi
- Automatizzata
- sfondo
- base
- BE
- perché
- diventa
- essendo
- MIGLIORE
- fra
- tavola
- Consiglio di Amministrazione
- violazione
- affari
- C-suite
- Materiale
- funzionalità
- catturare
- Catene
- Challenge
- possibilità
- capo
- CISO
- classificazione
- commissione
- Uncommon
- comunicare
- Aziende
- azienda
- completamento di una
- conformità
- collegato
- veloce
- Conseguenze
- Prendere in considerazione
- contesto
- appaltatori
- di controllo
- controlli
- Conversazione
- Nucleo
- creare
- critico
- Cyber
- Cybersecurity
- dati
- giorno
- affare
- decisioni
- dimostrare
- Dipendenza
- descrizione
- Nonostante
- DID
- differenza
- diverso
- difficile
- digitale
- direzione
- Amministrazione
- Rilevare
- scoperta
- fare
- guidare
- educare
- in maniera efficace
- sforzi
- dipendenti
- enable
- Ingegneria
- Impresa
- Ambiente
- Evento
- Ogni
- ogni giorno
- prova
- esempio
- exchange
- dirigenti
- espansione
- attenderti
- esperienza
- esperto
- competenza
- esposto
- Esposizione
- Occhi
- di fronte
- FAST
- messa a fuoco
- Nel
- essere trovato
- da
- anteriore
- geografico
- ottenere
- scopo
- buono
- la governance
- grande
- Gruppo
- Crescita
- Crescita
- Avere
- Notizie
- Come
- HTTPS
- IBRIDO
- Lavoro ibrido
- identificare
- realizzare
- Implementazione
- implicazioni
- in
- incidente
- Compreso
- industria
- informazioni
- informazioni di sicurezza
- iniziative
- invece
- interesse
- Investimenti
- IT
- SUO
- stessa
- jpg
- Sapere
- Conoscere
- conoscenze
- Dipingere
- paesaggio
- Lingua
- Cognome
- con i più recenti
- capi
- IMPARARE
- Livello
- piace
- piccolo
- cerca
- fatto
- make
- Fare
- il malware
- gestione
- gestione
- margini
- Rappresentanza
- Importanza
- intanto
- misurare
- analisi
- di misura
- Utenti
- forza
- minimizzando
- moderno
- monitorati
- Scopri di più
- maggior parte
- motivato
- movimento
- NARRATIVA
- Bisogno
- esigenze
- New
- Obiettivi d'Esame
- occasionale
- of
- ufficiali
- on
- in corso
- operazione
- Opportunità
- Opzioni
- organizzazione
- Altro
- complessivo
- svista
- proprio
- parte
- partner
- partnership
- partito
- immagine
- posto
- piattaforma
- Platone
- Platone Data Intelligence
- PlatoneDati
- punto
- Termini e Condizioni
- possibile
- pratica
- presenti
- presentazioni
- Dare priorità
- Pro
- procedure
- produttivo
- professionale
- Programma
- proposto
- protetta
- proteggere
- protezione
- ransomware
- RE
- ridurre
- riducendo
- relazionato
- pertinente
- Reportistica
- richiedere
- Risorse
- Rispondere
- responsabile
- Rischio
- rischi
- ROI
- Ruolo
- Regola
- s
- S & P
- S&P 500
- SaaS
- forza di vendita
- stesso
- Scala
- SEC
- assicurato
- Valori
- Securities and Exchange Commission
- problemi di
- Condividi
- dovrebbero
- Un'espansione
- Taglia
- So
- soluzione
- Soluzioni
- qualcosa
- specifico
- Di partenza
- inizio
- step
- Strategico
- strategie
- tale
- improvviso
- fornitori
- fornire
- Catene di fornitura
- superficie
- Parlare
- parlando
- Insegnamento
- team
- Consulenza
- test
- che
- I
- loro
- Li
- Terza
- minaccia
- minacce
- tempo
- a
- pure
- enorme
- capire
- capisce
- non usato
- Aggiornanento
- us
- uso
- Prezioso
- APPREZZIAMO
- Ve
- fornitori
- contro
- visibilità
- vulnerabilità
- vulnerabilità
- Vulnerabile
- Modo..
- sito web
- Webinars
- WELL
- Che
- Che cosa è l'
- while
- OMS
- volere
- disposto
- con
- senza
- Lavora
- Workday
- sarebbe
- WSJ
- anni
- Tu
- Trasferimento da aeroporto a Sharm
- zefiro
