זה נהיה נפוץ שדירקטוריונים בוחרים ברמה נמוכה של סובלנות סיכון עבור המיזם. הבעיה היא שהפעולה נעצרת בדרך כלל שם, בהיעדר הנחיות חדשות כלשהן למנכ"ל או לסמנכ"ל הכספים לקבל החלטות שונות שיתמכו בסובלנות הסיכון הנמוכה הזו.
הצעדים הבאים האופטימליים אינם כרוכים בהכרח יותר כסף, אם כי מימון מוגבר לאבטחת סייבר הוא המהלך הברור ביותר ולעתים קרובות הכרחי. זה יכול גם להיות כרוך במתן סמכות לבצע את השינויים הדרושים לשדרוג עמדת הסיכון של הארגון.
ה-CISO או CRO אמורים להיות מסוגלים לאשר הסכמי ענן עם תנאי אבטחה חדשים. הם צריכים גם להיות מסוגלים לדרוש משותפים עסקיים פוטנציאליים לעמוד באמצעי אבטחה, כגון בדיקת עט ללא הודעה מוקדמת. אולי ה-CISO רוצה לבטל את מדיניות הסלולר של BYOD ובמקום זאת להתעקש רק על מכשירים הנשלטים על ידי החברה - הם צריכים להיות בעלי הכוח לבצע את השיחה הזו. או אולי ה-CSO רוצה את הזכות לבקר דוחות הוצאות חשבונות חייב, מחפש כל רכישה (נתבים, ספקי ענן, מכשירי IoT וכו') שיכולות להצביע על צל זה.
"מה שמבלבל בזה הוא שכל כך קל ללוח לומר שיש לו סובלנות סיכון נמוכה. זה כמעט הופך למסר שיווקי", אומר ג'ף פולארד, סמנכ"ל ואנליסט ראשי של Forrester Research. "האם חברי מועצת המנהלים באמת מבינים מה המשמעות של סובלנות סיכון נמוכה? זה לא עולה כלום רק להגיד את זה. יש השלכות והשלכות של סבילות לסיכון נמוך".
עבור לא מעט מועצות, "אין קשר ישיר" בין ההצהרה הזו לבין שינויים מתאימים כדי להפוך אותה לאמיתית, אומר פולארד. הוא מוסיף, "דירקטוריונים מנותקים לעתים קרובות בעת קבלת החלטה זו ומחליטים על התקציב. הסיכון במאה ה-21 הוא לעתים קרובות כמותי עם הפורניר של איכות. יש להם את המסכה הזאת של להיות כמויות כשהן לא. אנו משתמשים בשפה לא מדויקת כאילו היא מדויקת. הסיכון הוא מעורפל. אין הגדרה משמעותית של מה זה אומר בפועל".
"החטיבה הצומחת הכי מהר היא כנראה בסיכון גבוה מכיוון שהם גדלים כל כך מהר והם עושים מה שצריך לעשות כדי לצמוח כל כך מהר", הוא אומר. "האם הדירקטוריון מסמיך (המנכ"ל) להפעיל את הבלמים? אני לא חושב כך. זו לא שיחה על סיכונים באותה מידה שזו שיחה על פשרות".
הקמת רשות מבצעת בטון
Soumya Banerjee, שותף שותף ב-McKinsey, אומר כי מועצות המנהלים כיום צריכות לקבל הבנה הרבה יותר מתוחכמת של הסיכון והדרכים הקונקרטיות לטיפול בו.
"למועצות המנהלים יש עדיין הבנה לגבי הסיכונים שהם צריכים. הסיכונים מתפתחים היום בצורה כל כך מהירה", אמר בנרג'י. "כשהדירקטוריון אומר 'סובלנות סיכון נמוכה', זה צריך להגדיר רשימה של מדדי סיכון מוחשיים מאוד. סובלנות לסיכון צריכה להיות מוגדרת לפי השפעת הסיכון. יש ניתוק מובהק. מועצות המנהלים חייבות לייצג את אבטחת הסייבר במונחים של סובלנות לסיכון בצורה הנכונה - לא בצורה מופשטת, אלא בדרכים מוחשיות מאוד. מהן הפשרות? יש לנו כסף לעשות את זה?"
אנדרו מוריסון, מנהיג האסטרטגיה, ההגנה והתגובה בדלויט, רואה את האתגר המרכזי בקבלת סיכונים בדירקטוריון סמכות.
"הדבר היחיד שבאמת חסר הוא סמכות קבלת ההחלטות הנכונה באבטחת סייבר. המקום שבו אנו רואים תקריות הולכים דרומה הוא המקום שבו החלטות הפיקוד והשליטה עכורות. למשל, מי יכול להחליט לסגור את הנוכחות המקוונת?" אומר מוריסון. "הדירקטוריון יכריז על סובלנות נמוכה לסיכון מבלי להבין מה זה אומר עבור הארגון. צריך לקיים שיחה על מידת הסמכות של ה-CISO וצוות האבטחה לקבל את ההחלטות".
מערכות מדור קודם יכולות לערער ביעילות אפילו את אסטרטגיית הלוח הנלהבת ביותר שונאת סיכונים, במיוחד תת-קבוצת המערכות הישנות והיקרות בייצור ובתחומי OT אחרים, אומר דיוויד בורג, מוביל אבטחת הסייבר של Ernst & Young Americas.
"זה כרוך בטעם מסוים של מורשת שבו נאמר ל-CISO, 'אל תיגע בדברים האלה. זה מאוד רגיש ומאוד ישן'", אומר בורג. כל מערכת שהיא מחוץ לתחום ה-IT והאבטחה היא מערכת שתוקפים יראו כמקום מצוין להסתיר תוכנות זדוניות.
קביעת ציפיות מתאימות לבעלי המניות
מועצות המנהלים גם צריכות להיות זהירות ואסטרטגיות לגבי צורכי הציות בעת יצירת אסטרטגיית תיאבון לסיכוני סייבר, אומר מאט טולברט, מוביל אבטחת הסייבר וניהול סיכונים תפעוליים של הבנק הפדרלי של קליבלנד.
טולברט, שמסר א שיחה בכנס RSA 2023 לגבי נושאי דירקטוריון סביב החלטה על מדיניות כזו, אומר שקביעת מדיניות כזו חשובה כדי שבעלי המניות יבינו את רמת הסיכון שהמניה מוכנה לסבול. "צריך להיות ברור לכולם מהן הציפיות האלה", אומר טולברט.
"מה מתאים לצד שלישי לעשות? או כשעוברים לענן? זו הדרכה אם זה מקובל", אומר טולברט. גישה אחת היא לקיים דיוני סיכונים עמוקים עם שותפים פוטנציאליים כדי לקבוע אם לשתי החברות יש אותה סובלנות לסיכון.
הוא גם מציין כי רמות סבילות הסיכון המעשית היחידות הן נמוכות, בינוניות וגבוהות. דירקטוריון לא יכול להצהיר שיש לו אפס סובלנות לסיכון מסיבות משפטיות. אם כן, זה יפתח את החברה לתביעה לאחר הפרה בודדת.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoAiStream. Web3 Data Intelligence. הידע מוגבר. גישה כאן.
- הטבעת העתיד עם אדריאן אשלי. גישה כאן.
- קנה ומכירה של מניות בחברות PRE-IPO עם PREIPO®. גישה כאן.
- מקור: https://www.darkreading.com/edge-articles/how-boards-can-set-enforceable-cyber-risk-tolerance-levels
- :יש ל
- :הוא
- :לֹא
- :איפה
- $ למעלה
- 2023
- 7
- a
- יכול
- אודות
- תקציר
- קביל
- קבלה
- חשבונות
- חשבונות לתשלום
- פעולה
- ממשי
- למעשה
- מוסיף
- לאחר
- הסכמים
- גם
- למרות
- אמריקה
- an
- מנתח
- ו
- כל
- תאבון
- גישה
- מתאים
- לאשר
- נלהב
- ARE
- אזורים
- סביב
- AS
- עמית
- At
- בדיקה
- סמכות
- בנק
- BE
- כי
- התהוות
- להיות
- בֵּין
- לוּחַ
- הפרה
- תקציב
- עסקים
- אבל
- by
- שיחה
- CAN
- זהיר
- מאה
- מנכ"ל
- מסוים
- מנהל כספים ראשי
- לאתגר
- שינויים
- בחרו
- CISO
- ברור
- ענן
- Common
- חברות
- חברה
- הענות
- תנאים
- לִשְׁלוֹט
- שיחה
- עלויות
- יכול
- מנהל רווח וצמיחה כלכלית
- סייבר
- אבטחת סייבר
- אבטחת סייבר
- דוד
- להחליט
- מחליטים
- החלטה
- קבלת החלטות
- החלטות
- עמוק
- גופי בטחון
- מוגדר
- נתן
- דלויט
- לקבוע
- התקנים
- DID
- אחר
- ישיר
- הנחיות
- דירקטורים
- מנותק
- דיונים
- חטיבה
- do
- עושה
- דון
- עשה
- מטה
- קל
- יעילות
- בוטל
- רשאי
- העצמה
- ניתן לאכיפה
- מִפְעָל
- ארנסט אנד יאנג
- במיוחד
- וכו '
- אֲפִילוּ
- כולם
- מתפתח
- דוגמה
- מנהלים
- הציפיות
- יקר
- מהר
- המהיר ביותר
- הצמיחה המהירה ביותר
- פדרלי
- הפדרל ריזרב
- בנק הפדרלי
- מעטים
- בעד
- פורסטר
- מימון
- Go
- הענקת
- גדול
- לגדול
- גדל
- הדרכה
- יש
- יש
- he
- הסתר
- גָבוֹהַ
- איך
- http
- HTTPS
- i
- if
- פְּגִיעָה
- השלכות
- חשוב
- in
- גדל
- להצביע
- אינדיקטורים
- במקום
- אל תוך
- לערב
- IOT
- מכשירי יוט
- בעיות
- IT
- jpg
- רק
- מפתח
- שפה
- מנהיג
- מוֹרֶשֶׁת
- משפטי
- רמה
- רמות
- רשימה
- הסתכלות
- נמוך
- לעשות
- עשייה
- תוכנות זדוניות
- ניהול
- דרך
- ייצור
- שיווק
- מסכות
- מקינזי
- משמעותי
- אומר
- אמצעים
- בינוני
- לִפְגוֹשׁ
- להרשם/להתחבר
- הודעה
- חסר
- סלולרי
- כסף
- יותר
- רוב
- המהלך
- נע
- הרבה
- צריך
- בהכרח
- הכרחי
- צורך
- נחוץ
- צרכי
- חדש
- הבא
- לא
- הערות
- שום דבר
- ברור
- of
- כבוי
- לעתים קרובות
- זקן
- on
- ONE
- באינטרנט
- רק
- לפתוח
- מבצעי
- אופטימלית
- or
- ארגון
- אחר
- הַחוּצָה
- שותף
- שותפים
- מקום
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- מדיניות
- מדיניות
- עמדה
- פוטנציאל
- כּוֹחַ
- מעשי
- תרגול
- צורך
- נוכחות
- מנהל
- כנראה
- בעיה
- תָקִין
- לְעַתִיד
- רכישות
- גם
- אֵיכוּתִי
- כמותי
- מהיר
- ממשי
- בֶּאֱמֶת
- סיבות
- דוחות לדוגמא
- לייצג
- לדרוש
- מחקר
- עתודה
- בנק מילואים
- תגובה
- תקין
- הסיכון
- תיאבון לסיכון
- ניהול סיכונים
- סיכונים
- RSA
- s
- אמר
- אותו
- לומר
- אומר
- אבטחה
- אמצעי אבטחה
- לִרְאוֹת
- רואה
- רגיש
- סט
- הצבה
- בעל מניות
- בעלי המניות
- צריך
- כבה
- יחיד
- So
- מתוחכם
- דרום
- צעדים
- עוד
- מניות
- עוצר
- אסטרטגי
- אִסטרָטֶגִיָה
- כזה
- נתבע
- תמיכה
- מערכת
- מערכות
- נבחרת
- מונחים
- בדיקות
- זֶה
- השמיים
- שם.
- הֵם
- דבר
- לחשוב
- צד שלישי
- זֶה
- אלה
- אם כי?
- ל
- היום
- סובלנות
- לגעת
- באמת
- פונה
- שתיים
- בדרך כלל
- מערער
- להבין
- הבנה
- שדרוג
- באמצעות
- ספקים
- מאוד
- רוצה
- דֶרֶך..
- דרכים
- we
- מה
- מה
- מתי
- אם
- אשר
- מי
- יצטרך
- מוכן
- עם
- לְלֹא
- היה
- צעיר
- זפירנט
- אפס