I mer än 15 år har cybersäkerhetsbranschen pratat om att kommunicera med styrelse. Det är vanligt att leverantörer har e-böcker, webbseminarier och presentationer om hur och vad chefer för informationssäkerhet (CISO) ska presentera för sina styrelser – när de får chansen.
Tillsammans med bristande möjligheter kan CISO:er ha oro för att presentera för styrelsen eftersom de är de enda cheferna på C-nivå utan ett eget verktyg för att mäta ROI. Från Salesforce till Workday till Marketo, C-suite-chefer har plattformslösningar som sammanställer, analyserar och rapporterar om varje aspekt av verksamheten. Det finns ingen sådan lösning för CISO, vilket gör det svårare att mäta säkerhetsprogrammets ROI eller att visa affärsvärde.
Det ironiska är att, trots allt intresse av att presentera för dem, att säga att cybersäkerhet inte är en kärnkompetens i styrelsen är en underdrift. WSJ Pro Cybersecurity Research undersökte den professionella bakgrunden för alla S&P 500-styrelseledamöter och fann att mindre än 2 % "hade relevant yrkeserfarenhet inom cybersäkerhet under de senaste 10 åren."
Oavsett vem man är är det svårt att ha stort intresse för något man inte förstår. Det vill säga tills du är motiverad att lära dig. Vad vi har framför oss nu är ett stort uppvaknande för styrelser och cybersäkerhet, med tillstånd av Securities and Exchange Commission (SEC).
Enligt Harvard Business Review, "en föreslagen SEC-regel kommer att kräva att företag avslöjar sina cybersäkerhetsstyrningsförmåga, inklusive styrelsens tillsyn över cyberrisk, en beskrivning av ledningens roll i att bedöma och hantera cyberrisker, relevant expertis för sådan ledning och ledningens roll i genomförandet av företagets cybersäkerhetspolicyer, procedurer och strategier."
Jag skulle förvänta mig att fler styrelser skulle leta efter erfarna chefer med bakgrund inom cybersäkerhet, från och med nu. Under tiden, vad betyder detta för CISO:er?
Ett stort tillfälle
Med ett plötsligt intresse för cybersäkerhet, men lite kunskap om det, kan det som styrelseledamöterna vill veta jämfört med vad de behöver veta vara helt annorlunda. Till exempel fokusera för mycket på den senaste attacken i rubrikerna eller fokusera för mycket på efterlevnad. Precis som att lära sig på prov kan att uppnå efterlevnad vara ett bra steg i rätt riktning, men det är inte alltid detsamma som att sträva efter att implementera bästa möjliga säkerhetsåtgärder. När att uppnå efterlevnad blir säkerhetsmålet istället för att minimera risker och skydda de mest kritiska tillgångarna, har vi missat poängen.
Vilken möjlighet för CISO att skapa en berättelse om "cybersäkerhet som en affärsenabler" för sin organisation. Din plats i styrelserummet är nu säkrad. Istället för enstaka engångsuppdateringar är du nu en del av affärssamtalet löpande. Detta är en möjlighet att placera cybersäkerhet i sammanhanget av affärsbeslut som styrelsen förstår. Släpp akronymer och tekniskt snack om hot, sårbarheter och attacker. Behärska affärsspråket flytande och prata om cyberkonsekvenserna av affärsbeslut som fattas varje dag.
Användningen av SaaS-appar som gör anställda mer produktiva i en hybrid arbetsmiljö gör också organisationen mer utsatt för risker, eftersom kritisk affärsdata nu är under kontroll av en tredje part. Affärspartnerskap som driver geografisk expansion, att skynda ut nya appar på marknaden så fort som möjligt för att ta marknadsandelar, eller förvärva för att skala teknikteamet har alla enorma cybersäkerhetskonsekvenser. När du till exempel förvärvar ett företag ärver du också dess attackyta. Det är inte bara en ny grupp anställda som behöver tillgång till företagets resurser, utan alla deras entreprenörer, partners, leverantörer och så vidare. Det är en trasslig, utökad digital väv av anslutna tillgångar och implikationer.
Säkerhetsledare skulle göra klokt i att göra cybersäkerhet påtaglig i ett affärssammanhang. Precis som alla andra delar av verksamheten finns det beslut som måste fattas och avvägningar att överväga, allt relaterade till vad som är den acceptabla risknivån organisationen är villig att utsätta sig för.
Automation och bevis
Enligt SEC:s ögon behöver styrelsen bevis på vilka tillgångar den är ansvarig för och hur den övervakas och proaktivt skyddas. I händelse av ett brott, när fick styrelsen veta om det, och hur snabbt reagerade den och avslöjade händelsen?
Det börjar med att veta vad du skyddar och hur du gör det. Upptäckt av kritiska tillgångar blir en kärnkompetens som underbygger synlighet, klassificering och saneringsinsatser i ett modernt cybersäkerhetsprogram. Upptäckt och klassificering måste automatiseras för att hantera storleken, rörelsen och tillväxten av data och företagsanslutna tillgångar över hybridmoln, SaaS-partners och digitala leveranskedjor. Skydd börjar med fullständig synlighet av denna vidsträckta attackyta, inklusive alla beroenden, anslutningar och sårbarheter för alla tillgångar som är riktade mot allmänheten. Därifrån kan du prioritera skydd mot de mest kritiska hoten mot dina mest värdefulla tillgångar.
Automatisk upptäckt kan också identifiera tillgångar som är vilande, oanvända och onödiga. På så sätt kan de effektivt avvecklas för att minska cyberrisk och attackera ytspridning samtidigt.
Slutsats
Nu är det inte läge att utbilda styrelsen om skillnaden mellan skadlig programvara och ransomware. Det handlar om att måla upp en helhetsbild av hotbilden och de specifika risker och exponeringar som organisationen står inför. CISO:er bör tala om det övergripande säkerhetsprogrammet och strategiska initiativ för att möjliggöra verksamheten samtidigt som de mäter och minskar risker.
Hjälp styrelsen att förstå var verksamheten är sårbar, var kontroller slutar och var exponeringen börjar. Vilka är konsekvenserna och skyddsalternativen? I slutet av dagen är cybersäkerhet en affärsutmaning, som växande marginaler och marknadsandelar. Strategiska prioriteringar och investeringar anpassade till affärsmål. Låter så enkelt.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- Platoblockchain. Web3 Metaverse Intelligence. Kunskap förstärkt. Tillgång här.
- Källa: https://www.darkreading.com/risk/the-board-of-directors-will-see-you-now
- :är
- ][s
- 10
- 15 år
- 2%
- a
- Om oss
- om det
- godtagbart
- tillgång
- uppnå
- förvärva
- förvärvande
- tvärs
- mot
- aggregerande
- Justerat
- Alla
- alltid
- analys
- och
- Ångest
- appar
- ÄR
- AS
- aspekt
- bedöma
- Tillgångar
- At
- attackera
- Attacker
- Automatiserad
- bakgrund
- grund
- BE
- därför att
- blir
- Där vi får lov att vara utan att konstant prestera,
- BÄST
- mellan
- ombord
- styrelse
- brott
- företag
- C-suite
- KAN
- kapacitet
- fånga
- kedjor
- utmanar
- chans
- chef
- CISO
- klassificering
- provision
- Gemensam
- kommunicera
- Företag
- företag
- fullborda
- Efterlevnad
- anslutna
- anslutning
- Konsekvenser
- Tänk
- sammanhang
- Företag
- kontroll
- kontroller
- Konversation
- Kärna
- skapa
- kritisk
- cyber
- Cybersäkerhet
- datum
- dag
- behandla
- beslut
- demonstrera
- Dependency
- beskrivning
- Trots
- DID
- Skillnaden
- olika
- svårt
- digital
- riktning
- Direktörer
- Avslöja
- Upptäckten
- gör
- driv
- utbilda
- effektivt
- ansträngningar
- anställda
- möjliggöra
- Teknik
- Företag
- Miljö
- händelse
- Varje
- varje dag
- bevis
- exempel
- utbyta
- befattningshavare
- expansionen
- förvänta
- erfarenhet
- erfaren
- expertis
- utsatta
- Exponering
- Ögon
- vänd
- SNABB
- fokusering
- För
- hittade
- från
- främre
- geografisk
- skaffa sig
- Målet
- god
- styrning
- stor
- Grupp
- Odling
- Tillväxt
- Har
- Rubriker
- Hur ser din drömresa ut
- HTTPS
- Hybrid
- Hybridarbete
- identifiera
- genomföra
- genomföra
- implikationer
- in
- incident
- Inklusive
- industrin
- informationen
- informationssäkerhet
- initiativ
- istället
- intresse
- Investeringar
- IT
- DESS
- sig
- jpg
- Vet
- Menande
- kunskap
- Brist
- liggande
- språk
- Efternamn
- senaste
- ledare
- LÄRA SIG
- Nivå
- tycka om
- liten
- du letar
- gjord
- göra
- Framställning
- malware
- ledning
- hantera
- marginaler
- marknad
- Materia
- under tiden
- mäta
- åtgärder
- mätning
- Medlemmar
- kanske
- minimerande
- Modern Konst
- övervakas
- mer
- mest
- motiverad
- rörelse
- BERÄTTANDE
- Behöver
- behov
- Nya
- mål
- tillfällig
- of
- officerare
- on
- pågående
- drift
- Möjlighet
- Tillbehör
- organisation
- Övriga
- övergripande
- Tillsyn
- egen
- del
- partner
- partnerskap
- parti
- Bild
- Plats
- plattform
- plato
- Platon Data Intelligence
- PlatonData
- Punkt
- Strategier
- möjlig
- praktiken
- presentera
- Presentationer
- Prioritera
- Pro
- förfaranden
- produktiv
- professionell
- Program
- föreslagen
- skyddad
- skydda
- skydd
- Ransomware
- RE
- minska
- reducerande
- relaterad
- relevanta
- Rapportering
- kräver
- Resurser
- Svara
- ansvarig
- Risk
- risker
- ROI
- Roll
- Regel
- s
- S & P
- S & P 500
- SaaS
- Salesforce
- Samma
- Skala
- SEC
- Säkrad
- Värdepapper
- säkerhet och utbytesprovision
- säkerhet
- Dela
- skall
- Enkelt
- Storlek
- So
- lösning
- Lösningar
- något
- specifik
- Starta
- startar
- Steg
- Strategisk
- strategier
- sådana
- plötslig
- leverantörer
- leverera
- Försörjningskedjor
- yta
- Diskussion
- tala
- Undervisning
- grupp
- Teknisk
- testa
- den där
- Smakämnen
- deras
- Dem
- Tredje
- hot
- hot
- tid
- till
- alltför
- verktyg
- enorm
- förstå
- förstår
- oanvänd
- Uppdatering
- us
- användning
- Värdefulla
- värde
- Ve
- försäljare
- Kontra
- synlighet
- sårbarheter
- sårbarhet
- Sårbara
- Sätt..
- webb
- Webbseminarier
- VÄL
- Vad
- Vad är
- medan
- VEM
- kommer
- beredd
- med
- utan
- Arbete
- Arbetsdag
- skulle
- WSJ
- år
- Om er
- Din
- zephyrnet
