Industrija kibernetske varnosti že več kot 15 let govori o komuniciranju z uprava. Za prodajalce je običajna praksa, da imajo e-knjige, spletne seminarje in predstavitve o tem, kako in kaj naj direktorji za informacijsko varnost (CISO) predstavijo svojim odborom – ko imajo priložnost.
Poleg pomanjkanja priložnosti imajo lahko CISO zaskrbljeni glede predstavitve upravnemu odboru, ker so edini vodstveni delavci na ravni C, ki nimajo lastnega orodja za meri ROI. Od Salesforce do Workday in Marketo imajo vodstveni kadri rešitve platforme, ki združujejo, analizirajo in poročajo o vseh vidikih delovanja. Za CISO ni takšne rešitve, zaradi česar je težje izmeriti ROI varnostnega programa ali prikazati poslovno vrednost.
Ironija je, da je kljub vsemu zanimanju za predstavitev pred njimi podcenjevanje reči, da kibernetska varnost ni temeljna kompetenca odbora. WSJ Pro Cybersecurity Research je raziskal poklicno ozadje vseh članov upravnega odbora S&P 500 in ugotovil, da je manj kot 2 % "imelo ustrezne poklicne izkušnje na področju kibernetske varnosti v zadnjih 10 letih."
Ne glede na to, kdo ste, težko vas bo zanimalo nekaj, česar ne razumete. To pomeni, dokler niste motivirani za učenje. To, kar imamo zdaj pred seboj, je veliko prebujenje za uprave in kibernetsko varnost, z dovoljenjem Komisije za vrednostne papirje in borzo (SEC).
Glede na Harvard Business Review, »predlagano pravilo SEC bo od podjetij zahtevalo, da razkrijejo svoje zmogljivosti upravljanja kibernetske varnosti, vključno z nadzorom odbora nad kibernetskimi tveganji, opisom vloge vodstva pri ocenjevanju in obvladovanju kibernetskih tveganj, ustreznim strokovnim znanjem takega vodstva in vlogo vodstva pri izvajanju ukrepov družbe. politike, postopke in strategije kibernetske varnosti.«
Pričakoval bi, da bo več upravnih odborov že zdaj iskalo izkušene vodstvene delavce z izkušnjami na področju kibernetske varnosti. Kaj medtem to pomeni za CISO?
Velika priložnost
Z nenadnim zanimanjem za kibernetsko varnost, vendar le malo znanja o njej, se lahko tisto, kar člani odbora želijo vedeti, in tisto, kar morajo vedeti, precej razlikujejo. Na primer, preveč osredotočanje na zadnji napad v naslovih ali preveč osredotočanje na skladnost. Tako kot poučevanje na testu je lahko doseganje skladnosti dober korak v pravo smer, vendar ni vedno isto kot prizadevanje za izvajanje najboljših možnih varnostnih ukrepov. Ko doseganje skladnosti postane varnostni cilj namesto zmanjšanja tveganja in zaščite najbolj kritičnih sredstev, smo zgrešili bistvo.
Kakšna priložnost za CISO, da za svojo organizacijo ustvari pripoved o »kibernetski varnosti kot dejavniku, ki omogoča poslovanje«. Vaše mesto v sejni sobi je zdaj zagotovljeno. Namesto občasne enkratne posodobitve ste zdaj stalno del poslovnega pogovora. To je priložnost za umestitev kibernetske varnosti v kontekst poslovnih odločitev, ki jih upravni odbor razume. Opustite kratice in tehnični govor o grožnjah, ranljivostih in napadih. Tekoče govorite poslovni jezik in govorite o kibernetskih posledicah poslovnih odločitev, ki se sprejemajo vsak dan.
Uporaba aplikacij SaaS, ki delajo zaposlene bolj produktivne v hibridnem delovnem okolju, prav tako pušča organizacijo bolj izpostavljeno tveganjem, saj kritične poslovne podatke zdaj nadzoruje tretja oseba. Poslovna partnerstva, ki spodbujajo geografsko širitev, čim hitrejše lansiranje novih aplikacij na trg, da bi pridobili tržni delež, ali pridobivanje inženirske ekipe za povečanje velikosti, imajo izjemne posledice za kibernetsko varnost. Na primer, ko pridobite podjetje, podedujete tudi njegovo napadalno površino. Dostopa do virov podjetja ne potrebuje le nova skupina zaposlenih, temveč vsi njihovi pogodbeni partnerji, partnerji, dobavitelji itd. Je zapleten, razširjen digitalni splet povezanih sredstev in posledic.
Voditeljem na področju varnosti bi bilo dobro svetovati, da kibernetsko varnost naredijo oprijemljivo v poslovnem kontekstu. Kot pri vsakem drugem delu poslovanja je treba sprejeti odločitve in razmisliti o kompromisih, ki so povezani s sprejemljivo stopnjo tveganja, ki se mu je organizacija pripravljena izpostaviti.
Avtomatizacija in dokazi
Pod očmi SEC upravni odbor potrebuje dokaze o tem, za katera sredstva je odgovoren ter kako se spremlja in proaktivno ščiti. V primeru kršitve, kdaj je upravni odbor vedel za to in kako hitro se je odzval in razkril incident?
Začne se z vedenjem, kaj varujete in kako to počnete. Odkrivanje kritičnih sredstev postane ključna kompetenca, ki podpira prepoznavnost, klasifikacijo in prizadevanja za sanacijo v sodobnem programu kibernetske varnosti. Odkrivanje in razvrščanje morata biti avtomatizirana za obravnavo velikosti, gibanja in rasti podatkov in sredstev, povezanih s podjetjem, prek hibridnih oblakov, partnerjev SaaS in digitalnih dobavnih verig. Zaščita se začne s popolno vidljivostjo te razširjene napadalne površine, vključno z vsako odvisnostjo, povezavo in ranljivostjo v vseh javno dostopnih sredstvih. Od tam lahko daste prednost zaščiti pred najbolj kritičnimi grožnjami za vaša najdragocenejša sredstva.
Samodejno odkrivanje lahko prepozna tudi sredstva, ki so v mirovanju, neuporabljena in nepotrebna. Na ta način jih je mogoče učinkovito razgraditi in zmanjšati kibernetsko tveganje in hkrati napadite širjenje površine.
zaključek
Zdaj ni čas za izobraževanje odbora o razlikah med zlonamerno in izsiljevalsko programsko opremo. Gre za slikanje popolne slike pokrajine groženj ter posebnih tveganj in izpostavljenosti, s katerimi se sooča organizacija. CISO bi morali govoriti o splošnem varnostnem programu in strateških pobudah, da bi omogočili poslovanje, hkrati pa merili in zmanjševali tveganje.
Pomagajte odboru razumeti, kje je podjetje ranljivo, kje se kontrole končajo in kje se začne izpostavljenost. Kakšne so posledice in možnosti zaščite? Konec koncev je kibernetska varnost poslovni izziv, tako kot naraščajoče marže in tržni delež. S poslovnimi cilji usklajene strateške prioritete in naložbe. Sliši se tako preprosto.
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- Platoblockchain. Web3 Metaverse Intelligence. Razširjeno znanje. Dostopite tukaj.
- vir: https://www.darkreading.com/risk/the-board-of-directors-will-see-you-now
- : je
- ][str
- 10
- 15 let
- 2%
- a
- O meni
- o IT
- sprejemljiv
- dostop
- doseganju
- pridobiti
- pridobitev
- čez
- proti
- združevanje
- poravnano
- vsi
- vedno
- analiziranje
- in
- Anksioznost
- aplikacije
- SE
- AS
- vidik
- Ocenjevanje
- Sredstva
- At
- napad
- Napadi
- Avtomatizirano
- ozadje
- Osnova
- BE
- ker
- postane
- počutje
- BEST
- med
- svet
- uprava
- kršitev
- poslovni
- C-apartma
- CAN
- Zmogljivosti
- zajemanje
- verige
- izziv
- priložnost
- šef
- CISO
- Razvrstitev
- Komisija
- Skupno
- komuniciranje
- Podjetja
- podjetje
- dokončanje
- skladnost
- povezane
- povezava
- Posledice
- Razmislite
- ozadje
- izvajalci
- nadzor
- Nadzor
- Pogovor
- Core
- ustvarjajo
- kritično
- cyber
- Cybersecurity
- datum
- dan
- ponudba
- odločitve
- izkazati
- Odvisnost
- opis
- Kljub
- DID
- Razlika
- drugačen
- težko
- digitalni
- smer
- Direktorji
- Razkrije
- Odkritje
- tem
- pogon
- izobraževanje
- učinkovito
- prizadevanja
- Zaposleni
- omogočajo
- Inženiring
- Podjetje
- okolje
- Event
- Tudi vsak
- vsak dan
- dokazi
- Primer
- Izmenjava
- vodstvo
- Širitev
- pričakovati
- izkušnje
- izkušen
- strokovno znanje
- izpostavljena
- Izpostavljenost
- oči
- s katerimi se sooča
- FAST
- osredotoča
- za
- je pokazala,
- iz
- spredaj
- geografsko
- dobili
- Cilj
- dobro
- upravljanje
- veliko
- skupina
- Pridelovanje
- Rast
- Imajo
- Naslovi
- Kako
- HTTPS
- Hybrid
- Hibridno delo
- identificirati
- izvajati
- izvajanja
- posledice
- in
- nesreča
- Vključno
- Industrija
- Podatki
- varnost informacij
- pobud
- Namesto
- obresti
- naložbe
- IT
- ITS
- sam
- jpg
- Vedite
- Vedeti
- znanje
- Pomanjkanje
- Pokrajina
- jezik
- Zadnja
- Zadnji
- Voditelji
- UČITE
- Stopnja
- kot
- malo
- si
- je
- Znamka
- Izdelava
- zlonamerna programska oprema
- upravljanje
- upravljanje
- marže
- Tržna
- Matter
- medtem
- merjenje
- ukrepe
- merjenje
- člani
- morda
- minimiziranje
- sodobna
- spremljati
- več
- Najbolj
- motivirani
- Gibanje
- NARRATIVNO
- Nimate
- potrebe
- Novo
- Cilji
- občasno
- of
- uradniki
- on
- v teku
- Delovanje
- Priložnost
- možnosti
- Organizacija
- Ostalo
- Splošni
- Nadzor
- lastne
- del
- partnerji
- partnerstev
- zabava
- slika
- Kraj
- platforma
- platon
- Platonova podatkovna inteligenca
- PlatoData
- Točka
- politike
- mogoče
- praksa
- predstaviti
- Predstavitve
- Prednost
- za
- Postopki
- produktivno
- strokovni
- Program
- predlagano
- zaščiteni
- zaščito
- zaščita
- izsiljevalska
- RE
- zmanjša
- zmanjšanje
- povezane
- pomembno
- Poročanje
- zahteva
- viri
- Odzove
- odgovorna
- Tveganje
- tveganja
- ROI
- vloga
- Pravilo
- s
- S&P
- S&P 500
- SaaS
- prodajni center
- Enako
- Lestvica
- SEC
- Zavarovano
- Vrednostni papirji
- Securities and Exchange Commission
- varnost
- Delite s prijatelji, znanci, družino in partnerji :-)
- shouldnt
- Enostavno
- Velikosti
- So
- Rešitev
- rešitve
- Nekaj
- specifična
- Začetek
- začne
- Korak
- Strateško
- strategije
- taka
- nenadoma
- dobavitelji
- dobavi
- Napajalne verige
- Površina
- Pogovor
- pogovor
- poučevanje
- skupina
- tehnični
- Test
- da
- O
- njihove
- Njih
- tretja
- Grožnja
- grožnje
- čas
- do
- tudi
- orodje
- ogromno
- razumeli
- razume
- neuporabljeno
- Nadgradnja
- us
- uporaba
- dragocene
- vrednost
- Ve
- prodajalci
- Proti
- vidljivost
- Ranljivosti
- ranljivost
- Ranljivi
- način..
- web
- Webinars
- Dobro
- Kaj
- Kaj je
- medtem
- WHO
- bo
- pripravljeni
- z
- brez
- delo
- Delovnik
- bi
- WSJ
- let
- Vi
- Vaša rutina za
- zefirnet
