I mer enn 15 år har cybersikkerhetsindustrien snakket om å kommunisere med styret. Det er vanlig praksis for leverandører å ha e-bøker, webinarer og presentasjoner om hvordan og hva informasjonssikkerhetssjefer (CISOer) bør presentere for styrene deres – når de får sjansen.
Sammen med mangel på muligheter kan CISO-er ha angst for å presentere for styret fordi de er de eneste lederne på C-nivå uten et eget verktøy for å måle ROI. Fra Salesforce til Workday til Marketo, C-suite-ledere har plattformløsninger som samler, analyserer og rapporterer om alle aspekter av operasjonen. Det finnes ingen slik løsning for CISO, noe som gjør det vanskeligere å måle sikkerhetsprogramavkastningen eller å demonstrere forretningsverdi.
Det ironiske er at til tross for all interessen for å presentere for dem, er det en underdrivelse å si at cybersikkerhet ikke er en kjernekompetanse til styret. WSJ Pro Cybersecurity Research undersøkte den faglige bakgrunnen til alle S&P 500 styremedlemmer og fant at mindre enn 2 % "hadde relevant yrkeserfaring innen nettsikkerhet de siste 10 årene."
Uansett hvem du er, er det vanskelig å ha stor interesse for noe du ikke forstår. Det vil si til du er motivert til å lære. Det vi har foran oss nå er en stor oppvåkning for styrene og cybersikkerhet, takket være Securities and Exchange Commission (SEC).
Ifølge Harvard Business Review, «en foreslått SEC-regel vil kreve at selskaper offentliggjør sine cybersikkerhetsstyringsevner, inkludert styrets tilsyn med cyberrisiko, en beskrivelse av ledelsens rolle i å vurdere og administrere cyberrisiko, relevant ekspertise til slik ledelse, og ledelsens rolle i implementeringen av selskapets retningslinjer, prosedyrer og strategier for nettsikkerhet."
Jeg forventer at flere styrer leter etter erfarne ledere med bakgrunn innen cybersikkerhet, fra og med nå. I mellomtiden, hva betyr dette for CISOer?
En stor mulighet
Med en plutselig interesse for cybersikkerhet, men lite kunnskap om det, kan det være ganske annerledes hva styremedlemmene ønsker å vite kontra hva de trenger å vite. For eksempel å fokusere for mye på det siste angrepet i overskriftene eller fokusere for mye på etterlevelse. I likhet med å lære på prøve, kan det å oppnå samsvar være et godt skritt i riktig retning, men det er ikke alltid det samme som å strebe etter å implementere best mulige sikkerhetstiltak. Når det å oppnå samsvar blir sikkerhetsmålet i stedet for å minimere risiko og beskytte de mest kritiske eiendelene, har vi gått glipp av poenget.
For en mulighet for CISO til å lage en "cybersikkerhet som en forretningsmuliggjører"-narrativ for organisasjonen deres. Din plass i styrerommet er nå sikret. I stedet for en og annen engangsoppdatering, er du nå en del av forretningssamtalen fortløpende. Dette er en mulighet til å sette cybersikkerhet i sammenheng med forretningsbeslutninger som styret forstår. Grøft akronymer og teknisk snakk om trusler, sårbarheter og angrep. Vær flytende i forretningsspråket og snakk om cyberkonsekvensene av forretningsbeslutninger som tas hver dag.
Bruken av SaaS-apper som gjør ansatte mer produktive i et hybrid arbeidsmiljø gjør også organisasjonen mer utsatt for risiko, ettersom kritiske forretningsdata nå er i kontroll av en tredjepart. Forretningspartnerskap som driver geografisk ekspansjon, hastverk med nye apper til markedet så raskt som mulig for å ta markedsandeler, eller anskaffelse for å skalere ingeniørteamet har alle enorme cybersikkerhetskonsekvenser. For eksempel, når du kjøper et selskap, arver du også angrepsoverflaten. Det er ikke bare en ny gruppe ansatte som trenger tilgang til bedriftsressurser, men alle deres kontraktører, partnere, leverandører og så videre. Det er et sammenfiltret, utvidet digitalt nett av tilkoblede eiendeler og implikasjoner.
Sikkerhetsledere vil være lurt å gjøre cybersikkerhet håndgripelig i en forretningssammenheng. Som enhver annen del av virksomheten er det beslutninger som må tas og avveininger å vurdere, alt relatert til hva som er det akseptable risikonivået organisasjonen er villig til å utsette seg for.
Automatisering og bevis
Under øynene til SEC trenger styret bevis på hvilke eiendeler det er ansvarlig for og hvordan det overvåkes og beskyttes proaktivt. I tilfelle et brudd, når fikk styret vite om det, og hvor raskt reagerte det og avslørte hendelsen?
Det starter med å vite hva du beskytter og hvordan du gjør det. Oppdagelse av kritiske eiendeler blir en kjernekompetanse som underbygger synlighet, klassifisering og utbedringsarbeid i et moderne nettsikkerhetsprogram. Oppdagelse og klassifisering må automatiseres for å håndtere størrelsen, bevegelsen og veksten av data og bedriftstilkoblede eiendeler på tvers av hybridskyer, SaaS-partnere og digitale forsyningskjeder. Beskyttelse starter med fullstendig synlighet av denne vidstrakte angrepsoverflaten, inkludert hver avhengighet, forbindelse og sårbarhet på tvers av alle offentlige eiendeler. Derfra kan du prioritere beskyttelse mot de mest kritiske truslene mot dine mest verdifulle eiendeler.
Automatisert oppdagelse kan også identifisere eiendeler som er sovende, ubrukte og unødvendige. På den måten kan de effektivt tas ut av drift for å redusere cyber-risiko og angrep overflatespredning på samme tid.
konklusjonen
Nå er ikke tiden for å utdanne styret om forskjellen mellom skadelig programvare og løsepengeprogramvare. Det handler om å male et fullstendig bilde av trussellandskapet og de spesifikke risikoene og eksponeringene organisasjonen står overfor. CISOer bør snakke om det overordnede sikkerhetsprogrammet og strategiske initiativer for å aktivere virksomheten samtidig som de måler og reduserer risiko.
Hjelp styret til å forstå hvor virksomheten er sårbar, hvor kontrollene slutter og hvor eksponeringen begynner. Hva er konsekvensene og beskyttelsesalternativene? På slutten av dagen er cybersikkerhet en forretningsutfordring, som økende marginer og markedsandeler. Strategiske prioriteringer og investeringer tilpasset forretningsmål. Høres så enkelt ut.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- Platoblokkkjede. Web3 Metaverse Intelligence. Kunnskap forsterket. Tilgang her.
- kilde: https://www.darkreading.com/risk/the-board-of-directors-will-see-you-now
- :er
- ][s
- 10
- 15 år
- 2%
- a
- Om oss
- om det
- akseptabelt
- adgang
- oppnå
- erverve
- anskaffe
- tvers
- mot
- aggregerer
- justert
- Alle
- alltid
- analyserer
- og
- Angst
- apps
- ER
- AS
- aspektet
- vurdere
- Eiendeler
- At
- angripe
- Angrep
- Automatisert
- bakgrunn
- basis
- BE
- fordi
- blir
- være
- BEST
- mellom
- borde
- styret
- brudd
- virksomhet
- C-suite
- CAN
- evner
- fangst
- kjeder
- utfordre
- sjanse
- sjef
- CISO
- klassifisering
- kommisjon
- Felles
- kommunisere
- Selskaper
- Selskapet
- fullføre
- samsvar
- tilkoblet
- tilkobling
- Konsekvenser
- Vurder
- kontekst
- entreprenører
- kontroll
- kontroller
- Samtale
- Kjerne
- skape
- kritisk
- cyber
- Cybersecurity
- dato
- dag
- avtale
- avgjørelser
- demonstrere
- Avhengighet
- beskrivelse
- Til tross for
- gJORDE
- forskjell
- forskjellig
- vanskelig
- digitalt
- retning
- Styremedlemmer
- Avsløre
- Funnet
- gjør
- stasjonen
- utdanne
- effektivt
- innsats
- ansatte
- muliggjøre
- Ingeniørarbeid
- Enterprise
- Miljø
- Event
- Hver
- hver dag
- bevis
- eksempel
- utveksling
- ledere
- utvidelse
- forvente
- erfaring
- erfaren
- ekspertise
- utsatt
- Eksponering
- øyne
- vendt
- FAST
- fokusering
- Til
- funnet
- fra
- foran
- geografisk
- få
- mål
- god
- styresett
- flott
- Gruppe
- Økende
- Vekst
- Ha
- Overskrifter
- Hvordan
- HTTPS
- Hybrid
- Hybridarbeid
- identifisere
- iverksette
- implementere
- implikasjoner
- in
- hendelse
- Inkludert
- industri
- informasjon
- informasjonssikkerhet
- initiativer
- i stedet
- interesse
- Investeringer
- IT
- DET ER
- selv
- jpg
- Vet
- Knowing
- kunnskap
- maling
- landskap
- Språk
- Siste
- siste
- ledere
- LÆRE
- Nivå
- i likhet med
- lite
- ser
- laget
- gjøre
- Making
- malware
- ledelse
- administrerende
- marginer
- marked
- Saken
- mellomtiden
- måle
- målinger
- måling
- medlemmer
- kunne
- minimere
- Moderne
- overvåket
- mer
- mest
- motivert
- bevegelse
- FORTELLING
- Trenger
- behov
- Ny
- mål
- sporadisk
- of
- offiserer
- on
- pågående
- drift
- Opportunity
- alternativer
- organisasjon
- Annen
- samlet
- oppsyn
- egen
- del
- partnere
- partnerskap
- parti
- bilde
- Sted
- plattform
- plato
- Platon Data Intelligence
- PlatonData
- Point
- Politikk
- mulig
- praksis
- presentere
- Presentasjoner
- Prioriter
- pro
- prosedyrer
- produktiv
- profesjonell
- program
- foreslått
- beskyttet
- beskytte
- beskyttelse
- ransomware
- RE
- redusere
- redusere
- i slekt
- relevant
- Rapportering
- krever
- Ressurser
- Svare
- ansvarlig
- Risiko
- risikoer
- ROI
- Rolle
- Regel
- s
- S & P
- S & P 500
- SaaS
- Salesforce
- samme
- Skala
- SEK
- sikret
- Verdipapirer
- Securities and Exchange Commission
- sikkerhet
- Del
- bør
- Enkelt
- Størrelse
- So
- løsning
- Solutions
- noe
- spesifikk
- Start
- starter
- Trinn
- Strategisk
- strategier
- slik
- plutselig
- leverandører
- levere
- Forsyningskjeder
- overflaten
- Snakk
- snakker
- Undervisning
- lag
- Teknisk
- test
- Det
- De
- deres
- Dem
- Tredje
- trussel
- trusler
- tid
- til
- også
- verktøy
- enorm
- forstå
- forstår
- ubrukt
- Oppdater
- us
- bruke
- Verdifull
- verdi
- Ve
- leverandører
- Versus
- synlighet
- Sikkerhetsproblemer
- sårbarhet
- Sårbar
- Vei..
- web
- Webinarer
- VI VIL
- Hva
- Hva er
- mens
- HVEM
- vil
- villig
- med
- uten
- Arbeid
- Arbeidsdag
- ville
- WSJ
- år
- Du
- Din
- zephyrnet
