Понад 15 років галузь кібербезпеки говорила про спілкування з рада директорів. Постачальники зазвичай мають електронні книги, вебінари та презентації про те, як і що керівники інформаційної безпеки (CISO) повинні представляти своїм радам — коли вони мають нагоду.
Разом із відсутністю можливостей, CISO можуть хвилюватися щодо презентації правлінню, оскільки вони є єдиними керівниками рівня C, які не мають власного інструменту для виміряти ROI. Від Salesforce до Workday і Marketo керівники C-suite мають платформні рішення, які агрегують, аналізують і звітують про кожен аспект роботи. Такого рішення для CISO немає, що ускладнює вимірювання рентабельності інвестицій програми безпеки або демонстрацію цінності для бізнесу.
Іронія полягає в тому, що, незважаючи на весь інтерес до презентації для них, сказати, що кібербезпека не є основною компетенцією правління, – це нічого не сказати. Дослідження кібербезпеки WSJ Pro дослідили професійну історію всіх членів правління S&P 500 і виявили, що менше 2% «мали відповідний професійний досвід у сфері кібербезпеки за останні 10 років».
Незалежно від того, ким ви є, важко дуже цікавитися тим, чого ви не розумієте. Тобто до тих пір, поки у вас не буде мотивації вчитися. Те, що ми маємо зараз перед нами, — це велике пробудження правлінь і кібербезпеки, люб’язно надане Комісією з цінних паперів і бірж (SEC).
За оцінками Harvard Business Review, «пропоноване правило SEC вимагатиме від компаній розкривати свої можливості управління кібербезпекою, включаючи нагляд правління за кіберризиками, опис ролі керівництва в оцінці та управлінні кіберризиками, відповідний досвід такого керівництва та роль керівництва в реалізації компанії політики, процедури та стратегії кібербезпеки».
Я очікую, що зараз більше рад директорів шукатимуть досвідчених керівників із досвідом роботи в галузі кібербезпеки. Тим часом, що це означає для CISO?
Чудова можливість
З раптовим інтересом до кібербезпеки, але недостатнім знанням про це, те, що хочуть знати члени правління, може відрізнятися від того, що їм потрібно знати. Наприклад, надто багато зосередження на останній атаці в заголовках або занадто багато зосередження на відповідності. Подібно до навчання під час іспиту, досягнення відповідності може бути гарним кроком у правильному напрямку, але це не завжди те саме, що прагнення запровадити найкращі можливі заходи безпеки. Коли досягнення відповідності стає метою безпеки замість мінімізації ризиків і захисту найбільш важливих активів, ми упустили суть.
Яка можливість для CISO створити для своєї організації наратив «кібербезпека як фактор, що сприяє бізнесу». Ваше місце в залі засідань тепер забезпечено. Замість випадкових одноразових оновлень ви тепер постійно берете участь у діловому спілкуванні. Це можливість розмістити кібербезпеку в контексті бізнес-рішень, які розуміє правління. Відмовтеся від абревіатур і технічних розмов про загрози, уразливості та атаки. Вільно володійте мовою бізнесу та розповідайте про кібернаслідки бізнес-рішень, які приймаються щодня.
Використання додатків SaaS, які підвищують продуктивність співробітників у гібридному робочому середовищі, також робить організацію більш схильною до ризику, оскільки критичні бізнес-дані тепер контролюються третьою стороною. Ділове партнерство, яке стимулює географічне розширення, якомога швидше виводить на ринок нові додатки, щоб захопити частку ринку, або придбання для масштабування команди інженерів – усе це має величезні наслідки для кібербезпеки. Наприклад, коли ви придбаєте компанію, ви також успадкуєте її поверхню атаки. Доступ до ресурсів підприємства потребує не лише нова група співробітників, а й усі їхні підрядники, партнери, постачальники тощо. Це заплутана, розширена цифрова мережа пов’язаних активів і наслідків.
Лідерам у сфері безпеки було б добре порадити зробити кібербезпеку відчутною в бізнес-контексті. Як і в будь-якій іншій частині бізнесу, існують рішення, які необхідно приймати, і компроміси, які слід враховувати, і все це пов’язано з прийнятним рівнем ризику, якому організація готова піддатися.
Автоматизація та докази
На думку SEC, правління потребує доказів того, за які активи воно несе відповідальність і як вони контролюються та проактивно захищаються. У разі порушення, коли правління дізналося про це та як швидко воно відреагувало та розкрило інцидент?
Це починається зі знання того, що ви захищаєте і як ви це робите. Виявлення критично важливих активів стає основною компетенціею, яка лежить в основі видимості, класифікації та заходів із відновлення в сучасній програмі кібербезпеки. Виявлення та класифікація повинні бути автоматизовані для роботи з розміром, переміщенням і зростанням даних і підключених до підприємства активів у гібридних хмарах, партнерах SaaS і цифрових ланцюжках поставок. Захист починається з повної видимості цієї розгалуженої поверхні атаки, включаючи кожну залежність, зв’язок і вразливість у всіх загальнодоступних активах. Звідти ви можете визначити пріоритетність захисту від найбільш критичних загроз для ваших найцінніших активів.
Автоматизоване виявлення також може ідентифікувати активи, які неактивні, не використовуються та непотрібні. Таким чином, вони можуть бути ефективно виведені з експлуатації для зменшення кібер-ризик і одночасно атакувати розростання поверхні.
Висновок
Зараз не час пояснювати Правлінню різницю між зловмисним програмним забезпеченням і програмами-вимагачами. Йдеться про те, щоб намалювати повну картину ландшафту загроз і конкретних ризиків і ризиків, з якими стикається організація. Керівники CISO повинні говорити про загальну програму безпеки та стратегічні ініціативи, щоб забезпечити бізнес, одночасно вимірюючи та зменшуючи ризики.
Допоможіть правлінню зрозуміти, де бізнес є вразливим, де закінчується контроль і де починається ризик. Які наслідки та варіанти захисту? Зрештою, кібербезпека є проблемою для бізнесу, як і зростання маржі та частки ринку. Стратегічні пріоритети та інвестиції, узгоджені з бізнес-цілями. Звучить так просто.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
- джерело: https://www.darkreading.com/risk/the-board-of-directors-will-see-you-now
- :є
- ][стор
- 10
- 15 роки
- 2%
- a
- МЕНЮ
- про це
- прийнятний
- доступ
- досягнення
- набувати
- придбання
- через
- проти
- агрегуючий
- вирівняні
- ВСІ
- завжди
- Аналізуючи
- та
- Занепокоєння
- додатка
- ЕСТЬ
- AS
- зовнішній вигляд
- Оцінювання
- Активи
- At
- атака
- нападки
- Автоматизований
- фон
- основа
- BE
- оскільки
- стає
- буття
- КРАЩЕ
- між
- рада
- рада директорів
- порушення
- бізнес
- C-люкс
- CAN
- можливості
- захоплення
- ланцюга
- виклик
- шанс
- головний
- CISO
- класифікація
- комісія
- загальний
- спілкування
- Компанії
- компанія
- повний
- дотримання
- підключений
- зв'язку
- Наслідки
- Вважати
- контекст
- підрядники
- контроль
- управління
- Розмова
- Core
- створювати
- критичний
- кібер-
- Кібербезпека
- дані
- день
- угода
- рішення
- демонструвати
- Залежність
- description
- Незважаючи на
- DID
- різниця
- різний
- важкий
- цифровий
- напрям
- Директори
- Розкрити
- відкриття
- справи
- управляти
- виховувати
- фактично
- зусилля
- співробітників
- включіть
- Машинобудування
- підприємство
- Навколишнє середовище
- Event
- Кожен
- кожен день
- докази
- приклад
- обмін
- керівництво
- розширення
- очікувати
- досвід
- досвідчений
- експертиза
- піддаватися
- експонування
- очі
- облицювання
- ШВИДКО
- фокусування
- для
- знайдений
- від
- перед
- географічний
- отримати
- мета
- добре
- управління
- великий
- Group
- Зростання
- Зростання
- Мати
- Headlines
- Як
- HTTPS
- гібрид
- Гібридна робота
- ідентифікувати
- здійснювати
- реалізації
- наслідки
- in
- інцидент
- У тому числі
- промисловість
- інформація
- інформаційна безпека
- ініціативи
- замість
- інтерес
- інвестиції
- IT
- ЙОГО
- сам
- JPG
- Знати
- Знання
- знання
- відсутність
- ландшафт
- мова
- останній
- останній
- Лідери
- УЧИТЬСЯ
- рівень
- як
- трохи
- шукати
- made
- зробити
- Робить
- шкідливих програм
- управління
- управління
- поля
- ринок
- Матерія
- тим часом
- вимір
- заходи
- вимір
- члени
- може бути
- мінімізація
- сучасний
- контрольований
- більше
- найбільш
- мотивовані
- руху
- NARRATIVE
- Необхідність
- потреби
- Нові
- цілей
- іноді
- of
- офіцерів
- on
- постійний
- операція
- Можливість
- Опції
- організація
- Інше
- загальний
- Нагляд
- власний
- частина
- партнери
- партнерства
- партія
- картина
- місце
- платформа
- plato
- Інформація про дані Платона
- PlatoData
- точка
- Політика
- це можливо
- практика
- представити
- Presentations
- Пріоритетність
- Pro
- Процедури
- продуктивний
- професійний
- програма
- запропонований
- захищений
- захищає
- захист
- вимагачів
- RE
- зменшити
- зниження
- пов'язаний
- доречний
- Звітність
- вимагати
- ресурси
- Реагувати
- відповідальний
- Risk
- ризики
- ROI
- Роль
- Правило
- s
- S&P
- S&P 500
- SaaS
- Salesforce
- то ж
- шкала
- SEC
- Забезпечений
- Securities
- Комісія з цінних паперів і бірж
- безпеку
- Поділитись
- Повинен
- простий
- Розмір
- So
- рішення
- Рішення
- що в сім'ї щось
- конкретний
- Починаючи
- починається
- Крок
- Стратегічний
- стратегії
- такі
- раптовий
- постачальники
- поставка
- Ланцюги постачання
- поверхню
- балаканина
- говорити
- Навчання
- команда
- технічний
- тест
- Що
- Команда
- їх
- Їх
- третій
- загроза
- загрози
- час
- до
- занадто
- інструмент
- величезний
- розуміти
- розумієш
- невикористаний
- Оновити
- us
- використання
- Цінний
- значення
- Ve
- постачальники
- Проти
- видимість
- Уразливості
- вразливість
- Вразливий
- шлях..
- Web
- Вебінари
- ДОБРЕ
- Що
- Що таке
- в той час як
- ВООЗ
- волі
- готовий
- з
- без
- Work
- Робочий день
- б
- WSJ
- років
- Ти
- вашу
- зефірнет