คณะกรรมการจะพบคุณตอนนี้

เป็นเวลากว่า 15 ปีแล้วที่อุตสาหกรรมความปลอดภัยทางไซเบอร์ได้พูดคุยเกี่ยวกับการสื่อสารกับ คณะกรรมการผู้บริหาร. เป็นเรื่องปกติที่ผู้ขายจะมี e-book การสัมมนาผ่านเว็บ และงานนำเสนอเกี่ยวกับวิธีการและสิ่งที่หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูล (CISO) ควรนำเสนอต่อคณะกรรมการของพวกเขา — เมื่อมีโอกาส

นอกเหนือจากการขาดโอกาสแล้ว CISO อาจมีความวิตกกังวลเกี่ยวกับการนำเสนอต่อคณะกรรมการ เนื่องจากเป็นผู้บริหารระดับ C เพียงคนเดียวที่ไม่มีเครื่องมือของตนเอง วัด ROI. ตั้งแต่ Salesforce ไปจนถึง Workday ไปจนถึง Marketo ผู้บริหารระดับสูงของ C-suite มีโซลูชันแพลตฟอร์มที่รวบรวม วิเคราะห์ และรายงานในทุกแง่มุมของการดำเนินงาน ไม่มีโซลูชันดังกล่าวสำหรับ CISO ทำให้การวัด ROI ของโปรแกรมความปลอดภัยหรือการแสดงมูลค่าทางธุรกิจทำได้ยากขึ้น

ที่น่าขันก็คือ แม้จะมีความสนใจทั้งหมดที่จะนำเสนอต่อพวกเขา แต่การกล่าวว่าความปลอดภัยในโลกไซเบอร์ไม่ใช่ความสามารถหลักของคณะกรรมการถือเป็นการพูดเกินจริง การวิจัยความปลอดภัยทางไซเบอร์ของ WSJ Pro ตรวจสอบภูมิหลังทางวิชาชีพของสมาชิกคณะกรรมการ S&P 500 ทั้งหมด และพบว่าน้อยกว่า 2% “มีประสบการณ์วิชาชีพที่เกี่ยวข้องกับความปลอดภัยทางไซเบอร์ในช่วง 10 ปีที่ผ่านมา”

ไม่ว่าคุณจะเป็นใคร เป็นเรื่องยากที่จะมีความสนใจอย่างมากในสิ่งที่คุณไม่เข้าใจ นั่นคือจนกว่าคุณจะมีแรงจูงใจที่จะเรียนรู้ สิ่งที่อยู่ตรงหน้าเราตอนนี้คือการตื่นตัวครั้งใหญ่สำหรับคณะกรรมการและความปลอดภัยทางไซเบอร์ ได้รับความอนุเคราะห์จากสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.)

ตามที่ จาก Harvard Business“กฎของ ก.ล.ต. ที่เสนอจะกำหนดให้บริษัทเปิดเผยความสามารถในการกำกับดูแลความปลอดภัยทางไซเบอร์ รวมถึงการกำกับดูแลความเสี่ยงทางไซเบอร์ของคณะกรรมการ คำอธิบายบทบาทของฝ่ายบริหารในการประเมินและจัดการความเสี่ยงทางไซเบอร์ ความเชี่ยวชาญที่เกี่ยวข้องของฝ่ายบริหารดังกล่าว และบทบาทของฝ่ายบริหารในการดำเนินการของบริษัท นโยบาย ขั้นตอน และกลยุทธ์ด้านความปลอดภัยทางไซเบอร์”

ฉันคาดหวังว่าบอร์ดจำนวนมากขึ้นจะมองหาผู้บริหารที่มีประสบการณ์ซึ่งมีพื้นฐานด้านความปลอดภัยในโลกไซเบอร์ เริ่มตอนนี้เลย ในขณะเดียวกัน สิ่งนี้มีความหมายอย่างไรสำหรับ CISO

โอกาสที่ดี

ด้วยความสนใจอย่างกะทันหันในเรื่องความปลอดภัยทางไซเบอร์แต่มีความรู้เพียงเล็กน้อย สิ่งที่สมาชิกคณะกรรมการต้องการทราบกับสิ่งที่จำเป็นต้องรู้อาจแตกต่างกันมาก ตัวอย่างเช่น การให้ความสำคัญกับการโจมตีครั้งล่าสุดในพาดหัวข่าวมากเกินไป หรือเน้นไปที่การปฏิบัติตามกฎระเบียบมากเกินไป เช่นเดียวกับการสอนเพื่อทดสอบ การปฏิบัติตามข้อกำหนดอาจเป็นขั้นตอนที่ดีในทิศทางที่ถูกต้อง แต่ก็ไม่เหมือนกับการพยายามใช้มาตรการรักษาความปลอดภัยที่ดีที่สุดเท่าที่จะเป็นไปได้เสมอไป เมื่อการปฏิบัติตามกฎระเบียบกลายเป็นเป้าหมายด้านความปลอดภัยแทนที่จะลดความเสี่ยงและปกป้องทรัพย์สินที่สำคัญที่สุด เราก็พลาดจุดสำคัญไป

ช่างเป็นโอกาสอันดียิ่งสำหรับ CISO ในการสร้างเรื่องเล่าเกี่ยวกับ ตำแหน่งของคุณในห้องประชุมได้รับการรักษาความปลอดภัยแล้ว แทนที่จะเป็นการอัปเดตครั้งเดียวเป็นครั้งคราว ตอนนี้คุณเป็นส่วนหนึ่งของการสนทนาทางธุรกิจอย่างต่อเนื่อง นี่เป็นโอกาสที่จะวางความปลอดภัยทางไซเบอร์ในบริบทของการตัดสินใจทางธุรกิจที่คณะกรรมการเข้าใจ ทิ้งคำย่อและการพูดคุยด้านเทคนิคเกี่ยวกับภัยคุกคาม ช่องโหว่ และการโจมตี ใช้ภาษาธุรกิจได้อย่างคล่องแคล่วและพูดคุยเกี่ยวกับผลกระทบทางไซเบอร์ของการตัดสินใจทางธุรกิจที่เกิดขึ้นทุกวัน

การใช้แอป SaaS ที่ทำให้พนักงานมีประสิทธิผลมากขึ้นในสภาพแวดล้อมการทำงานแบบผสมผสานยังทำให้องค์กรมีความเสี่ยงมากขึ้น เนื่องจากขณะนี้ข้อมูลทางธุรกิจที่สำคัญอยู่ในการควบคุมของบุคคลที่สาม พันธมิตรทางธุรกิจที่ขับเคลื่อนการขยายตัวทางภูมิศาสตร์ เร่งแอพใหม่ออกสู่ตลาดโดยเร็วที่สุดเพื่อชิงส่วนแบ่งตลาด หรือการได้มาซึ่งทีมวิศวกรรมเพื่อขยายขนาด ล้วนมีผลตามมาด้านความปลอดภัยทางไซเบอร์อย่างมาก ตัวอย่างเช่น เมื่อคุณซื้อบริษัท คุณยังสืบทอดพื้นผิวการโจมตีของบริษัทนั้นด้วย ไม่เพียงแต่พนักงานกลุ่มใหม่ที่ต้องการเข้าถึงทรัพยากรขององค์กรเท่านั้น แต่ยังรวมถึงผู้รับเหมา คู่ค้า ซัพพลายเออร์ และอื่นๆ ทั้งหมดด้วย เป็นเว็บดิจิตอลที่ยุ่งเหยิงและขยายออกไปของเนื้อหาและความหมายที่เชื่อมโยงกัน

ผู้นำด้านความปลอดภัยจะได้รับคำแนะนำอย่างดีในการทำให้ความปลอดภัยในโลกไซเบอร์จับต้องได้ในบริบททางธุรกิจ เช่นเดียวกับส่วนอื่นๆ ของธุรกิจ มีการตัดสินใจที่ต้องทำและการแลกเปลี่ยนที่ต้องพิจารณา ทั้งหมดเกี่ยวข้องกับระดับความเสี่ยงที่ยอมรับได้ซึ่งองค์กรยินดีที่จะเปิดเผยตนเอง

ระบบอัตโนมัติและหลักฐาน

ภายใต้การดูแลของ ก.ล.ต. คณะกรรมการต้องการหลักฐานว่าทรัพย์สินใดที่ตนรับผิดชอบ รวมถึงวิธีการตรวจสอบและป้องกันเชิงรุก ในกรณีของการรั่วไหล คณะกรรมการทราบเมื่อใด และมีการตอบสนองและเปิดเผยเหตุการณ์เร็วเพียงใด

เริ่มต้นจากการรู้ว่าคุณกำลังปกป้องอะไรและคุณกำลังทำสิ่งนั้นอย่างไร การค้นพบสินทรัพย์ที่สำคัญกลายเป็นความสามารถหลักที่สนับสนุนการมองเห็น การจำแนกประเภท และความพยายามในการแก้ไขในโปรแกรมความปลอดภัยทางไซเบอร์สมัยใหม่ การค้นหาและการจำแนกประเภทจะต้องดำเนินการโดยอัตโนมัติเพื่อจัดการกับขนาด การเคลื่อนย้าย และการเติบโตของข้อมูลและสินทรัพย์ที่เชื่อมต่อกับองค์กรทั่วทั้งระบบคลาวด์แบบไฮบริด คู่ค้า SaaS และห่วงโซ่อุปทานดิจิทัล การป้องกันเริ่มต้นด้วยการมองเห็นได้อย่างสมบูรณ์ของพื้นผิวการโจมตีที่แผ่กิ่งก้านสาขา รวมถึงทุกการพึ่งพา การเชื่อมต่อ และช่องโหว่ในสินทรัพย์ที่เปิดเผยต่อสาธารณะทั้งหมด จากตรงนั้น คุณสามารถจัดลำดับความสำคัญของการป้องกันภัยคุกคามที่สำคัญที่สุดต่อทรัพย์สินที่มีค่าที่สุดของคุณได้

การค้นหาอัตโนมัติยังสามารถระบุสินทรัพย์ที่ไม่ได้ใช้งาน ไม่ได้ใช้ และไม่จำเป็น ด้วยวิธีนี้พวกเขาสามารถปลดประจำการได้อย่างมีประสิทธิภาพเพื่อลด ความเสี่ยงทางไซเบอร์ และแผ่ขยายพื้นผิวการโจมตีในเวลาเดียวกัน

สรุป

ตอนนี้ไม่ใช่เวลาที่จะให้ความรู้แก่คณะกรรมการเกี่ยวกับความแตกต่างระหว่างมัลแวร์และแรนซัมแวร์ มันเกี่ยวกับการวาดภาพที่สมบูรณ์ของภูมิทัศน์ของภัยคุกคามและความเสี่ยงและความเสี่ยงเฉพาะที่องค์กรเผชิญอยู่ CISO ควรพูดคุยเกี่ยวกับโปรแกรมความปลอดภัยโดยรวมและความคิดริเริ่มเชิงกลยุทธ์เพื่อช่วยให้ธุรกิจสามารถวัดและลดความเสี่ยงได้

ช่วยให้คณะกรรมการเข้าใจว่าธุรกิจมีความเสี่ยง จุดใดสิ้นสุดการควบคุม และจุดใดเริ่มเปิดโปง ผลที่ตามมาและตัวเลือกการป้องกันคืออะไร? ท้ายที่สุดแล้ว การรักษาความปลอดภัยในโลกไซเบอร์ถือเป็นความท้าทายทางธุรกิจ เช่น การเติบโตของกำไรและส่วนแบ่งตลาด ลำดับความสำคัญเชิงกลยุทธ์และการลงทุนที่สอดคล้องกับวัตถุประสงค์ทางธุรกิจ ฟังดูง่ายมาก

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• เพลโตบล็อคเชน Web3 Metaverse ข่าวกรอง ขยายความรู้. เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/risk/the-board-of-directors-will-see-you-now