Od ponad 15 lat branża cyberbezpieczeństwa mówi o komunikacji z Rada dyrektorów. Powszechną praktyką dostawców jest organizowanie e-booków, seminariów internetowych i prezentacji na temat tego, jak i co dyrektorzy ds. bezpieczeństwa informacji (CISO) powinni przedstawiać swoim zarządom — kiedy tylko nadarzy się taka okazja.
Wraz z brakiem możliwości, CISO mogą mieć obawy związane z prezentowaniem się przed zarządem, ponieważ jako jedyni dyrektorzy najwyższego szczebla nie mają własnego narzędzia do zmierzyć zwrot z inwestycji. Od Salesforce przez Workday po Marketo, kierownictwo C-suite ma rozwiązania platformowe do agregowania, analizowania i raportowania każdego aspektu operacji. Dla CISO nie ma takiego rozwiązania, co utrudnia pomiar zwrotu z inwestycji w program bezpieczeństwa lub wykazanie wartości biznesowej.
Ironia polega na tym, że pomimo całego zainteresowania prezentacją, stwierdzenie, że cyberbezpieczeństwo nie jest podstawową kompetencją zarządu, jest niedopowiedzeniem. Badania cyberbezpieczeństwa WSJ Pro zbadała doświadczenie zawodowe wszystkich członków zarządu S&P 500 i stwierdziła, że mniej niż 2% „miało odpowiednie doświadczenie zawodowe w cyberbezpieczeństwie w ciągu ostatnich 10 lat”.
Bez względu na to, kim jesteś, trudno jest interesować się czymś, czego nie rozumiesz. To znaczy, dopóki nie będziesz zmotywowany do nauki. To, co mamy teraz przed sobą, to wielkie przebudzenie zarządów i cyberbezpieczeństwa, dzięki uprzejmości Komisji Papierów Wartościowych i Giełd (SEC).
Zgodnie z Harvard Business Review, „proponowana zasada SEC będzie wymagać od firm ujawnienia ich możliwości zarządzania cyberbezpieczeństwem, w tym nadzoru zarządu nad ryzykiem cybernetycznym, opisu roli kierownictwa w ocenie ryzyka cybernetycznego i zarządzania nim, odpowiedniej wiedzy specjalistycznej takiego kierownictwa oraz roli kierownictwa we wdrażaniu polityki, procedury i strategie cyberbezpieczeństwa”.
Spodziewałbym się, że więcej zarządów zacznie szukać doświadczonych menedżerów z doświadczeniem w cyberbezpieczeństwie, zaczynając już teraz. Tymczasem, co to oznacza dla CISO?
Świetna okazja
Przy nagłym zainteresowaniu cyberbezpieczeństwem, ale niewielkiej wiedzy na jego temat, to, co członkowie zarządu chcą wiedzieć, a to, co powinni wiedzieć, może być zupełnie inne. Na przykład zbytnie skupienie się na ostatnim ataku w nagłówkach gazet lub zbytnie skupienie się na zgodności. Podobnie jak uczenie się na próbę, osiągnięcie zgodności może być dobrym krokiem we właściwym kierunku, ale nie zawsze jest tożsame z dążeniem do wdrożenia najlepszych możliwych środków bezpieczeństwa. Kiedy osiągnięcie zgodności staje się celem bezpieczeństwa zamiast minimalizowania ryzyka i ochrony najbardziej krytycznych zasobów, straciliśmy sedno.
Co za okazja dla CISO do stworzenia narracji „cyberbezpieczeństwo jako czynnik sprzyjający biznesowi” dla ich organizacji. Twoje miejsce w sali konferencyjnej jest teraz zapewnione. Zamiast okazjonalnej jednorazowej aktualizacji, jesteś teraz częścią rozmowy biznesowej na bieżąco. Jest to okazja do umieszczenia cyberbezpieczeństwa w kontekście decyzji biznesowych, które rozumie zarząd. Porzuć akronimy i techniczne rozmowy o zagrożeniach, lukach w zabezpieczeniach i atakach. Biegle posługuj się językiem biznesowym i porozmawiaj o cyberskutkach decyzji biznesowych podejmowanych każdego dnia.
Korzystanie z aplikacji SaaS, które zwiększają produktywność pracowników w hybrydowym środowisku pracy, również naraża organizację na ryzyko, ponieważ krytyczne dane biznesowe są teraz kontrolowane przez stronę trzecią. Partnerstwa biznesowe, które napędzają ekspansję geograficzną, jak najszybsze wprowadzanie nowych aplikacji na rynek w celu zdobycia udziału w rynku lub przejęcie zespołu inżynierów w celu zwiększenia skali, mają ogromne konsekwencje dla bezpieczeństwa cybernetycznego. Na przykład, kiedy przejmujesz firmę, dziedziczysz również jej powierzchnię ataku. Dostępu do zasobów przedsiębiorstwa potrzebuje nie tylko nowa grupa pracowników, ale wszyscy ich kontrahenci, partnerzy, dostawcy itd. Jest to splątana, rozszerzona cyfrowa sieć połączonych zasobów i implikacji.
Liderom ds. bezpieczeństwa dobrze byłoby, aby cyberbezpieczeństwo stało się namacalne w kontekście biznesowym. Jak w każdej innej części biznesu, trzeba podejmować decyzje i rozważać kompromisy, a wszystko to związane z akceptowalnym poziomem ryzyka, na jakie organizacja jest gotowa się narazić.
Automatyzacja i dowody
Pod okiem SEC zarząd potrzebuje dowodów na to, za jakie aktywa jest odpowiedzialny oraz w jaki sposób jest monitorowany i proaktywnie chroniony. W przypadku naruszenia, kiedy zarząd o tym wiedział i jak szybko zareagował i ujawnił incydent?
Zaczyna się od wiedzy, co chronisz i jak to robisz. Wykrywanie krytycznych zasobów staje się podstawową kompetencją, która leży u podstaw widoczności, klasyfikacji i działań naprawczych w nowoczesnym programie cyberbezpieczeństwa. Wykrywanie i klasyfikacja muszą być zautomatyzowane, aby poradzić sobie z rozmiarem, ruchem i wzrostem danych oraz zasobów połączonych z przedsiębiorstwem w chmurach hybrydowych, partnerach SaaS i cyfrowych łańcuchach dostaw. Ochrona zaczyna się od pełnego wglądu w tę rozległą powierzchnię ataku, w tym każdą zależność, połączenie i lukę we wszystkich publicznych zasobach. Stamtąd możesz ustalić priorytety ochrony przed najbardziej krytycznymi zagrożeniami dla najcenniejszych zasobów.
Automatyczne wykrywanie może również identyfikować zasoby, które są uśpione, nieużywane i niepotrzebne. W ten sposób można je skutecznie zlikwidować w celu redukcji cyber-ryzyko i jednocześnie atakować rozprzestrzenianie się powierzchni.
Wnioski
Teraz nie czas na edukowanie zarządu na temat różnicy między złośliwym oprogramowaniem a oprogramowaniem ransomware. Chodzi o namalowanie pełnego obrazu krajobrazu zagrożeń oraz konkretnych zagrożeń i ekspozycji, przed którymi stoi organizacja. CISO powinni mówić o ogólnym programie bezpieczeństwa i inicjatywach strategicznych, aby umożliwić biznesowi pomiar i redukcję ryzyka.
Pomóż zarządowi zrozumieć, gdzie firma jest podatna na zagrożenia, gdzie kończą się kontrole, a gdzie zaczyna się narażenie. Jakie są konsekwencje i opcje ochrony? Ostatecznie cyberbezpieczeństwo jest wyzwaniem biznesowym, takim jak rosnące marże i udział w rynku. Strategiczne priorytety i inwestycje dopasowane do celów biznesowych. Brzmi tak prosto.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. Dostęp tutaj.
- Źródło: https://www.darkreading.com/risk/the-board-of-directors-will-see-you-now
- :Jest
- ][P
- 10
- 15 roku
- 2%
- a
- O nas
- o tym
- do przyjęcia
- dostęp
- osiągnięcia
- nabyć
- nabywanie
- w poprzek
- przed
- agregacja
- wyrównany
- Wszystkie kategorie
- zawsze
- Analizując
- i
- Poczucie niepokoju
- mobilne i webowe
- SĄ
- AS
- aspekt
- oceniając
- Aktywa
- At
- atakować
- Ataki
- zautomatyzowane
- tło
- podstawa
- BE
- bo
- staje się
- jest
- BEST
- pomiędzy
- deska
- Rada dyrektorów
- naruszenie
- biznes
- Pakiet C.
- CAN
- możliwości
- zdobyć
- więzy
- wyzwanie
- szansa
- szef
- CISO
- klasyfikacja
- prowizja
- wspólny
- przyległy
- Firmy
- sukcesy firma
- kompletny
- spełnienie
- połączony
- połączenie
- Konsekwencje
- Rozważać
- kontekst
- wykonawcy
- kontrola
- kontroli
- Rozmowa
- rdzeń
- Stwórz
- krytyczny
- cyber
- Bezpieczeństwo cybernetyczne
- dane
- dzień
- sprawa
- Decyzje
- wykazać
- Zależność
- opis
- Mimo
- ZROBIŁ
- różnica
- różne
- trudny
- cyfrowy
- kierunek
- Dyrektorzy
- Ujawniać
- odkrycie
- robi
- napęd
- kształcić
- faktycznie
- starania
- pracowników
- umożliwiać
- Inżynieria
- Enterprise
- Środowisko
- wydarzenie
- Każdy
- codziennie
- dowód
- przykład
- wymiana
- kierownictwo
- ekspansja
- oczekiwać
- doświadczenie
- doświadczony
- ekspertyza
- narażony
- Ekspozycja
- Oczy
- okładzina
- FAST
- skupienie
- W razie zamówieenia projektu
- znaleziono
- od
- z przodu
- geograficzny
- otrzymać
- cel
- dobry
- zarządzanie
- wspaniały
- Zarządzanie
- Rozwój
- Wzrost
- Have
- Nagłówki
- W jaki sposób
- HTTPS
- Hybrydowy
- Praca hybrydowa
- zidentyfikować
- wdrożenia
- wykonawczych
- implikacje
- in
- incydent
- Włącznie z
- przemysł
- Informacja
- bezpieczeństwo informacji
- inicjatywy
- zamiast
- odsetki
- Inwestycje
- IT
- JEGO
- samo
- jpg
- Wiedzieć
- Wiedząc
- wiedza
- Brak
- krajobraz
- język
- Nazwisko
- firmy
- Przywódcy
- UCZYĆ SIĘ
- poziom
- lubić
- mało
- poszukuje
- zrobiony
- robić
- Dokonywanie
- malware
- i konserwacjami
- zarządzający
- marginesy
- rynek
- Materia
- w międzyczasie
- zmierzyć
- środków
- zmierzenie
- Użytkownicy
- może
- minimalizowanie
- Nowoczesne technologie
- monitorowane
- jeszcze
- większość
- zmotywowani
- ruch
- NARRACJA
- Potrzebować
- wymagania
- Nowości
- Cele
- okolicznościowy
- of
- Oficerowie
- on
- trwający
- działanie
- Okazja
- Opcje
- organizacja
- Inne
- ogólny
- Przeoczenie
- własny
- część
- wzmacniacz
- partnerstwa
- przyjęcie
- obraz
- Miejsce
- Platforma
- plato
- Analiza danych Platona
- PlatoDane
- punkt
- polityka
- możliwy
- praktyka
- teraźniejszość
- Presentations
- Priorytet
- Pro
- procedury
- produktywny
- profesjonalny
- Program
- zaproponowane
- chroniony
- ochrony
- ochrona
- ransomware
- RE
- zmniejszyć
- redukcja
- związane z
- Raportowanie
- wymagać
- Zasoby
- Odpowiadać
- odpowiedzialny
- Ryzyko
- ryzyko
- ROI
- Rola
- Zasada
- s
- S&P
- S&P 500
- SaaS
- sprzedawca
- taki sam
- Skala
- SEK
- zabezpieczone
- Papiery wartościowe
- Papierów Wartościowych i Giełd
- bezpieczeństwo
- Share
- powinien
- Prosty
- Rozmiar
- So
- rozwiązanie
- Rozwiązania
- coś
- specyficzny
- Startowy
- rozpocznie
- Ewolucja krok po kroku
- Strategiczny
- strategie
- taki
- nagły
- dostawcy
- Dostawa
- Dostarczać łańcuchy
- Powierzchnia
- Mówić
- rozmawiać
- Nauczanie
- zespół
- Techniczny
- test
- że
- Połączenia
- ich
- Im
- Trzeci
- groźba
- zagrożenia
- czas
- do
- także
- narzędzie
- ogromny
- zrozumieć
- rozumie
- nieużywana
- Aktualizacja
- us
- posługiwać się
- Cenny
- wartość
- Ve
- sprzedawców
- Przeciw
- widoczność
- Luki w zabezpieczeniach
- wrażliwość
- Wrażliwy
- Droga..
- sieć
- Seminaria
- DOBRZE
- Co
- Co to jest
- Podczas
- KIM
- będzie
- skłonny
- w
- bez
- Praca
- Dzień pracy
- by
- WSJ
- lat
- You
- Twój
- zefirnet
