Trong hơn 15 năm, ngành an ninh mạng đã nói về việc giao tiếp với ban giám đốc. Thông thường, các nhà cung cấp phải có sách điện tử, hội thảo trên web và bài thuyết trình về cách thức và nội dung mà các giám đốc an ninh thông tin (CISO) nên trình bày trước hội đồng quản trị của họ — khi họ có cơ hội.
Cùng với việc thiếu cơ hội, CISO có thể lo lắng về việc trình bày trước hội đồng quản trị vì họ là giám đốc điều hành cấp C duy nhất không có công cụ riêng để đo lường ROI. Từ Salesforce đến Workday đến Marketo, các giám đốc điều hành C-suite có các giải pháp nền tảng tổng hợp, phân tích và báo cáo về mọi khía cạnh của hoạt động. Không có giải pháp như vậy cho CISO, khiến việc đo lường ROI của chương trình bảo mật hoặc chứng minh giá trị kinh doanh trở nên khó khăn hơn.
Điều trớ trêu là, mặc dù rất muốn trình bày với họ, nhưng nói rằng an ninh mạng không phải là năng lực cốt lõi của hội đồng quản trị là một cách nói quá. Nghiên cứu an ninh mạng WSJ Pro đã điều tra nền tảng chuyên môn của tất cả các thành viên hội đồng quản trị S&P 500 và nhận thấy rằng chưa đến 2% “có kinh nghiệm chuyên môn liên quan về an ninh mạng trong 10 năm qua”.
Bất kể bạn là ai, thật khó để có hứng thú lớn với điều gì đó mà bạn không hiểu. Đó là cho đến khi bạn có động lực để học. Những gì chúng tôi có trước mắt bây giờ là sự thức tỉnh lớn lao đối với hội đồng quản trị và an ninh mạng, với sự giúp đỡ của Ủy ban Chứng khoán và Giao dịch (SEC).
Theo Harvard Business Review“Quy tắc được đề xuất của SEC sẽ yêu cầu các công ty tiết lộ khả năng quản lý an ninh mạng của họ, bao gồm cả việc giám sát rủi ro mạng của hội đồng quản trị, mô tả vai trò của ban quản lý trong việc đánh giá và quản lý rủi ro mạng, chuyên môn liên quan của ban quản lý đó và vai trò của ban quản lý trong việc thực hiện các quy định của công ty.” chính sách, thủ tục và chiến lược an ninh mạng.”
Tôi hy vọng sẽ có nhiều hội đồng quản trị tìm kiếm các giám đốc điều hành có kinh nghiệm với nền tảng về an ninh mạng, bắt đầu ngay bây giờ. Trong khi chờ đợi, điều này có ý nghĩa gì đối với CISO?
Một cơ hội tuyệt vời
Với sự quan tâm đột ngột đến an ninh mạng nhưng lại có ít kiến thức về nó, những gì các thành viên hội đồng quản trị muốn biết và những gì họ cần biết có thể khá khác nhau. Ví dụ: tập trung quá nhiều vào cuộc tấn công mới nhất trên các tiêu đề hoặc tập trung quá nhiều vào việc tuân thủ. Giống như dạy để kiểm tra, đạt được sự tuân thủ có thể là một bước đi đúng hướng nhưng không phải lúc nào cũng giống như việc cố gắng thực hiện các biện pháp bảo mật tốt nhất có thể. Khi việc đạt được sự tuân thủ trở thành mục tiêu bảo mật thay vì giảm thiểu rủi ro và bảo vệ những tài sản quan trọng nhất, chúng ta đã bỏ lỡ cơ hội.
Thật là một cơ hội để CISO tạo ra một câu chuyện “an ninh mạng với tư cách là người hỗ trợ kinh doanh” cho tổ chức của họ. Vị trí của bạn trong phòng họp hiện đã được đảm bảo. Thay vì cập nhật một lần không thường xuyên, giờ đây bạn là một phần của cuộc trò chuyện kinh doanh một cách liên tục. Đây là cơ hội để đặt an ninh mạng vào bối cảnh các quyết định kinh doanh mà hội đồng quản trị hiểu rõ. Bỏ qua các từ viết tắt và nói chuyện kỹ thuật về các mối đe dọa, lỗ hổng và các cuộc tấn công. Thông thạo ngôn ngữ kinh doanh và nói về hậu quả mạng của các quyết định kinh doanh được đưa ra hàng ngày.
Việc sử dụng các ứng dụng SaaS giúp nhân viên làm việc hiệu quả hơn trong môi trường làm việc kết hợp cũng khiến tổ chức gặp nhiều rủi ro hơn vì dữ liệu kinh doanh quan trọng hiện nằm trong tầm kiểm soát của bên thứ ba. Các quan hệ đối tác kinh doanh thúc đẩy mở rộng địa lý, tung ứng dụng mới ra thị trường nhanh nhất có thể để chiếm thị phần hoặc mua lại để mở rộng quy mô nhóm kỹ thuật, tất cả đều gây ra những hậu quả to lớn về an ninh mạng. Ví dụ: khi bạn mua lại một công ty, bạn cũng thừa hưởng bề mặt tấn công của nó. Không chỉ một nhóm nhân viên mới cần truy cập vào tài nguyên của doanh nghiệp, mà tất cả các nhà thầu, đối tác, nhà cung cấp của họ, v.v. Nó là một mạng lưới kỹ thuật số phức tạp, mở rộng gồm các nội dung và ý nghĩa được kết nối.
Các nhà lãnh đạo an ninh sẽ được khuyên nên làm cho an ninh mạng trở nên hữu hình trong bối cảnh kinh doanh. Giống như bất kỳ bộ phận nào khác của doanh nghiệp, có những quyết định được đưa ra và cân nhắc đánh đổi, tất cả đều liên quan đến mức độ rủi ro có thể chấp nhận được mà tổ chức sẵn sàng đối mặt.
Tự động hóa và Bằng chứng
Dưới con mắt của SEC, hội đồng quản trị cần bằng chứng về những tài sản mà họ chịu trách nhiệm và cách thức giám sát và bảo vệ chủ động. Trong trường hợp vi phạm, hội đồng quản trị đã biết về nó khi nào và nó đã phản hồi và tiết lộ sự cố nhanh như thế nào?
Nó bắt đầu với việc biết bạn đang bảo vệ cái gì và bạn đang làm điều đó như thế nào. Việc khám phá các tài sản quan trọng trở thành năng lực cốt lõi làm nền tảng cho các nỗ lực hiển thị, phân loại và khắc phục trong một chương trình an ninh mạng hiện đại. Việc khám phá và phân loại phải được tự động hóa để xử lý quy mô, chuyển động và tốc độ tăng trưởng của dữ liệu cũng như tài sản được kết nối với doanh nghiệp trên các đám mây lai, đối tác SaaS và chuỗi cung ứng kỹ thuật số. Bảo vệ bắt đầu với khả năng hiển thị đầy đủ bề mặt tấn công rộng lớn này, bao gồm mọi phụ thuộc, kết nối và lỗ hổng trên tất cả các tài sản công khai. Từ đó, bạn có thể ưu tiên bảo vệ chống lại các mối đe dọa nghiêm trọng nhất đối với tài sản quý giá nhất của mình.
Tự động phát hiện cũng có thể xác định nội dung không hoạt động, không sử dụng và không cần thiết. Bằng cách đó, chúng có thể được ngừng hoạt động một cách hiệu quả để giảm rủi ro mạng và tấn công bề mặt ngổn ngang cùng một lúc.
Kết luận
Bây giờ không phải là lúc để giáo dục hội đồng quản trị về sự khác biệt giữa phần mềm độc hại và phần mềm tống tiền. Đó là về việc vẽ nên một bức tranh hoàn chỉnh về bối cảnh mối đe dọa cũng như những rủi ro và mức độ phơi nhiễm cụ thể mà tổ chức phải đối mặt. CISO nên nói về chương trình bảo mật tổng thể và các sáng kiến chiến lược để hỗ trợ doanh nghiệp đồng thời đo lường và giảm thiểu rủi ro.
Giúp hội đồng quản trị hiểu nơi doanh nghiệp dễ bị tổn thương, nơi kiểm soát kết thúc và nơi bắt đầu tiếp xúc. Hậu quả và các lựa chọn bảo vệ là gì? Xét cho cùng, an ninh mạng là một thách thức kinh doanh, chẳng hạn như tăng tỷ suất lợi nhuận và thị phần. Các ưu tiên chiến lược và đầu tư phù hợp với mục tiêu kinh doanh. Nghe thật đơn giản.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến thức. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/risk/the-board-of-directors-will-see-you-now
- :là
- ][P
- 10
- 15 năm
- 2%
- a
- Giới thiệu
- về nó
- chấp nhận được
- truy cập
- đạt được
- có được
- có được
- ngang qua
- chống lại
- tổng hợp
- căn chỉnh
- Tất cả
- luôn luôn
- phân tích
- và
- Lo âu
- ứng dụng
- LÀ
- AS
- khía cạnh
- Đánh giá
- Tài sản
- At
- tấn công
- Các cuộc tấn công
- Tự động
- lý lịch
- cơ sở
- BE
- bởi vì
- trở thành
- được
- BEST
- giữa
- bảng
- ban giám đốc
- vi phạm
- kinh doanh
- Bộ C
- CAN
- khả năng
- nắm bắt
- chuỗi
- thách thức
- cơ hội
- chánh
- CISO
- phân loại
- hoa hồng
- Chung
- giao tiếp
- Các công ty
- công ty
- hoàn thành
- tuân thủ
- kết nối
- liên quan
- Hậu quả
- Hãy xem xét
- bối cảnh
- nhà thầu
- điều khiển
- điều khiển
- Conversation
- Trung tâm
- tạo
- quan trọng
- không gian mạng
- An ninh mạng
- dữ liệu
- ngày
- nhiều
- quyết định
- chứng minh
- Phụ thuộc
- Mô tả
- Mặc dù
- ĐÃ LÀM
- sự khác biệt
- khác nhau
- khó khăn
- kỹ thuật số
- hướng
- Giám đốc
- tiết lộ
- phát hiện
- làm
- lái xe
- giáo dục
- hiệu quả
- những nỗ lực
- nhân viên
- cho phép
- Kỹ Sư
- Doanh nghiệp
- Môi trường
- Sự kiện
- Mỗi
- mỗi ngày
- bằng chứng
- ví dụ
- Sàn giao dịch
- giám đốc điều hành
- mở rộng
- mong đợi
- kinh nghiệm
- kinh nghiệm
- chuyên môn
- tiếp xúc
- Tiếp xúc
- Mắt
- phải đối mặt với
- NHANH
- tập trung
- Trong
- tìm thấy
- từ
- trước mặt
- Địa lý
- được
- mục tiêu
- tốt
- quản trị
- tuyệt vời
- Nhóm
- Phát triển
- Tăng trưởng
- Có
- Tiêu đề
- Độ đáng tin của
- HTTPS
- Hỗn hợp
- Công việc kết hợp
- xác định
- thực hiện
- thực hiện
- hàm ý
- in
- sự cố
- Bao gồm
- ngành công nghiệp
- thông tin
- bảo mật thông tin
- khả năng phán đoán
- thay vì
- quan tâm
- Đầu Tư
- IT
- ITS
- chính nó
- jpg
- Biết
- Biết
- kiến thức
- Thiếu sót
- cảnh quan
- Ngôn ngữ
- Họ
- mới nhất
- các nhà lãnh đạo
- LEARN
- Cấp
- Lượt thích
- ít
- tìm kiếm
- thực hiện
- làm cho
- Làm
- phần mềm độc hại
- quản lý
- quản lý
- lợi nhuận
- thị trường
- chất
- trong khi đó
- đo
- các biện pháp
- đo lường
- Các thành viên
- Might
- giảm thiểu
- hiện đại
- theo dõi
- chi tiết
- hầu hết
- động cơ
- phong trào
- TƯỜNG THUẬT
- Cần
- nhu cầu
- Mới
- mục tiêu
- thỉnh thoảng
- of
- cán bộ
- on
- đang diễn ra
- hoạt động
- Cơ hội
- Các lựa chọn
- cơ quan
- Nền tảng khác
- tổng thể
- Giám sát
- riêng
- một phần
- Đối tác
- quan hệ đối tác
- bên
- hình ảnh
- Nơi
- nền tảng
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- Điểm
- Chính sách
- có thể
- thực hành
- trình bày
- Thuyết trình
- Ưu tiên
- pro
- thủ tục
- sản xuất
- chuyên nghiệp
- chương trình
- đề xuất
- bảo vệ
- bảo vệ
- bảo vệ
- ransomware
- RE
- giảm
- giảm
- liên quan
- có liên quan
- Báo cáo
- yêu cầu
- Thông tin
- Trả lời
- chịu trách nhiệm
- Nguy cơ
- rủi ro
- ROI
- Vai trò
- Quy tắc
- s
- S&P
- S & P 500
- SaaS
- lực lượng bán hàng
- tương tự
- Quy mô
- SEC
- Bảo mật
- Chứng khoán
- Ủy ban chứng khoán
- an ninh
- Chia sẻ
- nên
- Đơn giản
- Kích thước máy
- So
- giải pháp
- Giải pháp
- một cái gì đó
- riêng
- Bắt đầu
- bắt đầu
- Bước
- Chiến lược
- chiến lược
- như vậy
- đột ngột
- nhà cung cấp
- cung cấp
- Chuỗi cung ứng
- Bề mặt
- Thảo luận
- nói
- Giảng dạy
- nhóm
- Kỹ thuật
- thử nghiệm
- việc này
- Sản phẩm
- cung cấp their dịch
- Them
- Thứ ba
- mối đe dọa
- các mối đe dọa
- thời gian
- đến
- quá
- công cụ
- kinh hai
- hiểu
- hiểu
- không sử dụng
- Cập nhật
- us
- sử dụng
- Quý báu
- giá trị
- Ve
- nhà cung cấp
- Versus
- khả năng hiển thị
- Lỗ hổng
- dễ bị tổn thương
- Dễ bị tổn thương
- Đường..
- web
- Hội thảo
- TỐT
- Điều gì
- Là gì
- trong khi
- CHÚNG TÔI LÀ
- sẽ
- sẵn sàng
- với
- không có
- Công việc
- Ngày làm việc
- sẽ
- WSJ
- năm
- Bạn
- trên màn hình
- zephyrnet
