이사회는 지금 당신을 볼 것입니다

15년 이상 사이버 보안 업계는 이사회. 벤더가 기회가 있을 때 CISO(최고 정보 보안 책임자)가 이사회에 어떻게 그리고 무엇을 발표해야 하는지에 대한 전자책, 웨비나 및 프레젠테이션을 갖는 것이 일반적인 관행입니다.

기회의 부족과 함께 CISO는 자신의 도구가 없는 유일한 C급 임원이기 때문에 이사회에 발표하는 것에 대해 불안감을 가질 수 있습니다. ROI 측정. Salesforce에서 Workday, Marketo에 이르기까지 최고 경영진은 운영의 모든 측면을 집계, 분석 및 보고하는 플랫폼 솔루션을 보유하고 있습니다. CISO를 위한 솔루션이 없기 때문에 보안 프로그램 ROI를 측정하거나 비즈니스 가치를 입증하기가 더 어렵습니다.

아이러니하게도 그들에게 프레젠테이션에 대한 모든 관심에도 불구하고 사이버 보안이 이사회의 핵심 역량이 아니라고 말하는 것은 삼가면서 말하는 것입니다. WSJ 프로 사이버 보안 연구 모든 S&P 500 이사회 구성원의 직업적 배경을 조사한 결과 "지난 2년 동안 사이버 보안 관련 전문 경험이 있는" 사람은 10% 미만인 것으로 나타났습니다.

당신이 누구든지, 당신이 이해하지 못하는 것에 큰 관심을 갖는 것은 어렵습니다. 즉, 학습 동기가 부여될 때까지입니다. 지금 우리 앞에 있는 것은 증권 거래 위원회(SEC)의 도움으로 이사회와 사이버 보안에 대한 대각성입니다.

에 따르면 하버드 비즈니스 리뷰, “제안된 SEC 규칙은 기업이 사이버 위험에 대한 이사회의 감독, 사이버 위험 평가 및 관리에 대한 경영진의 역할에 대한 설명, 이러한 경영진의 관련 전문 지식, 사이버 보안 정책, 절차 및 전략.”

지금부터 사이버 보안에 대한 배경 지식이 있는 경험 많은 경영진을 찾고 있는 이사회가 더 많을 것으로 기대합니다. 한편, 이것이 CISO에게 의미하는 바는 무엇입니까?

큰 기회

사이버 보안에 대한 갑작스런 관심은 있지만 이에 대한 지식이 거의 없기 때문에 이사회 구성원이 알고 싶어하는 것과 알아야 하는 것은 상당히 다를 수 있습니다. 예를 들어 헤드라인의 최신 공격에 너무 집중하거나 컴플라이언스에 너무 집중하는 것입니다. 테스트를 가르치는 것과 마찬가지로 규정 준수를 달성하는 것은 올바른 방향으로 나아가는 좋은 단계일 수 있지만 가능한 최상의 보안 조치를 구현하기 위해 노력하는 것과 항상 같지는 않습니다. 규정 준수를 달성하는 것이 위험을 최소화하고 가장 중요한 자산을 보호하는 대신 보안 목표가 되면 요점을 놓친 것입니다.

CISO가 조직을 위한 "비즈니스 지원자로서의 사이버 보안" 내러티브를 만들 수 있는 엄청난 기회입니다. 이제 회의실에서 귀하의 자리가 확보되었습니다. 간헐적인 일회성 업데이트 대신 이제 귀하는 지속적으로 비즈니스 대화의 일부가 됩니다. 이것은 이사회가 이해하는 비즈니스 결정의 맥락에서 사이버 보안을 배치할 수 있는 기회입니다. 위협, 취약성 및 공격에 대한 약어 및 기술적인 이야기를 버리십시오. 비즈니스 언어를 유창하게 구사하고 매일 이루어지는 비즈니스 의사 결정의 사이버 결과에 대해 이야기하십시오.

하이브리드 작업 환경에서 직원의 생산성을 높이는 SaaS 앱을 사용하면 이제 중요한 비즈니스 데이터가 제XNUMX자에 의해 제어되기 때문에 조직이 위험에 더 많이 노출됩니다. 지리적 확장을 주도하는 비즈니스 파트너십, 시장 점유율을 확보하기 위해 가능한 한 빨리 새로운 앱을 시장에 출시하거나 엔지니어링 팀을 확장하기 위해 인수하는 것은 모두 엄청난 사이버 보안 결과를 가져옵니다. 예를 들어 회사를 인수하면 공격 표면도 상속됩니다. 엔터프라이즈 리소스에 액세스해야 하는 새로운 직원 그룹뿐만 아니라 모든 계약자, 파트너, 공급업체 등도 마찬가지입니다. 연결된 자산과 함의가 뒤엉킨 확장된 디지털 웹입니다.

보안 리더는 사이버 보안을 비즈니스 맥락에서 가시적으로 만드는 것이 좋습니다. 비즈니스의 다른 부분과 마찬가지로 결정을 내리고 고려해야 할 절충안이 있으며, 모두 조직이 노출할 수 있는 허용 가능한 위험 수준과 관련이 있습니다.

자동화 및 증거

SEC의 관점에서 이사회는 책임이 있는 자산과 자산이 어떻게 모니터링되고 능동적으로 보호되고 있는지에 대한 증거가 필요합니다. 위반이 발생한 경우 이사회는 언제 이를 알았고 얼마나 빨리 대응하고 사건을 공개했습니까?

무엇을 보호하고 있는지, 어떻게 보호하고 있는지 아는 것부터 시작됩니다. 중요 자산의 검색은 최신 사이버 보안 프로그램에서 가시성, 분류 및 교정 노력을 뒷받침하는 핵심 역량이 됩니다. 하이브리드 클라우드, SaaS 파트너 및 디지털 공급망에서 데이터 및 엔터프라이즈 연결 자산의 크기, 이동 및 성장을 처리하려면 검색 및 분류를 자동화해야 합니다. 보호는 모든 공개 자산에 대한 모든 종속성, 연결 및 취약성을 포함하여 이 확산되는 공격 표면에 대한 완전한 가시성에서 시작됩니다. 여기에서 가장 귀중한 자산에 대한 가장 심각한 위협에 대한 보호의 우선 순위를 지정할 수 있습니다.

자동화된 검색은 휴면, 미사용, 불필요한 자산도 식별할 수 있습니다. 그런 식으로 그들은 효과적으로 해체되어 감소시킬 수 있습니다. 사이버 위험 동시에 표면 스프롤을 공격합니다.

결론

지금은 맬웨어와 랜섬웨어의 차이점에 대해 이사회를 교육할 때가 아닙니다. 위협 환경과 조직이 직면한 특정 위험 및 노출에 대한 완전한 그림을 그리는 것입니다. CISO는 위험을 측정하고 줄이는 동시에 비즈니스를 지원하기 위한 전반적인 보안 프로그램 및 전략적 이니셔티브에 대해 이야기해야 합니다.

이사회가 사업이 취약한 곳, 통제가 끝나는 곳, 노출이 시작되는 곳을 이해하도록 돕습니다. 결과 및 보호 옵션은 무엇입니까? 결국 사이버 보안은 마진 및 시장 점유율 증가와 같은 비즈니스 과제입니다. 비즈니스 목표에 맞는 전략적 우선 순위 및 투자. 너무 간단하게 들립니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• 플라토 블록체인. Web3 메타버스 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/risk/the-board-of-directors-will-see-you-now