Киберсигурността никога не е била по-видима в бизнеса. Самият брой истории за хакерски атаки, засягащи компаниите, изтласкаха темата на дневен ред, а изискванията на Комисията за ценни книжа и фондови борси за отчитане на киберсигурността ще принудят и други компании да подобрят позицията си. Въздействието в тази област означава, че сега е по-вероятно от всякога управителните съвети да включват CISO или еквивалент в състава си.
Според проучването на Heidrick and Struggles за 2022 г. на главните директори по информационна сигурност (CISO) вече имат вниманието на управителния съвет – 88% представят ежемесечно дейността си пред целия управителен съвет или пред комитет на управителния съвет по киберсигурност.
Така че като специалисти по киберсигурност би трябвало да сме достигнали обетованата земя, където влиянието ни се усеща и можем да постигнем целите, които искаме да постигнем, нали? Не е така. Подобно на куче, което е преследвало кола, сега сме я хванали и трябва да разберем какво точно ще постигнем с произтичащата от това отговорност. Истината е, че тежката работа едва сега започва.
Не е достатъчно да предоставим информация за сигурността, която бордът да разбере, въпреки че това е самостоятелно умение. Най-голямото предизвикателство, пред което са изправени CISO, е как да покажем, че нашите процеси и актуализации в областта на сигурността ще намалят риска по измерим и постижим начин. За тези от нас, които са се борили, за да получат място на масата, този незабавен отговор може да изглежда като слаба възвръщаемост на всички тези инвестиции.
Бордовете са загрижени за риска и отговорностите, така че вашият подход трябва да се концентрира върху риска, вероятността и намаляването му. Този акцент върху действията може да бъде огромен стимул за извършване на промени в подхода ви. Това също така може да бъде възможност да разгледате как да направите повече от основните неща правилно във вашата дейност. Проследяването на области като управление на активите и кръпки може да не е от значение за отчетите пред съвета, но подобряването на тези процеси с помощта на автоматизация и изкуствен интелект може да доведе до значителни подобрения.
Например получаването на по-голяма подкрепа от борда може да даде възможност да се възприеме подходът „празен лист хартия“ към планирането на сигурността и процесите, като се използват правомощията на борда, за да се наложат актуализации или нови начини на работа. За повечето утвърдени компании обаче този подход може да не е възможен. Повечето организации смятат, че ще бъдат пробити, когато формулират своята позиция по отношение на сигурността. Сега те трябва да направят още една стъпка напред и да приемат, че промяната е неизбежна и че някои традиционни процеси и техники просто не са достатъчно бързи, за да се справят с нивото и сложността на настоящите заплахи.
Вторият елемент тук е да демонстрирате, че действията ви оказват въздействие. За тази цел трябва да прецените дали промените ви ще покажат незабавни резултати или ще се усетят в дългосрочен план. Също така ще трябва да разберете дали тези резултати представляват еднократни подобрения или възможности за дългосрочни печалби, тъй като това ще повлияе на начина, по който обсъждате тези области с управителния съвет. Този подход идва с предупреждение – не забравяйте да разгледате риска. Въпреки че бързите резултати са добри за връзките с обществеността, те не винаги намаляват риска, така че CISO трябва да правят и двете.
За тези, които са нови в ролята, извършването на промени може да доведе до бързи подобрения. Като пример, подобряването на приоритизирането на кръпките трябва да улесни отстраняването на критични проблеми и проблеми с висок риск за сигурността. Доказването, че тези проблеми са отстранени в рамките на договорените параметри на споразумението за ниво на обслужване, е чудесен начин да демонстрирате, че управлявате проблемите – и следователно риска – ефективно. Въпреки това може да се наложи да промените вашето SLA – например 30 дни за извършване на поправки около критични проблеми не са достатъчни. Тези данни могат да се използват и за намаляване на разходите за киберзастрахователни премии, тъй като можете да демонстрирате добре управлявана и поддържана система във времето.
Като част от това трябва да разгледате и как да управлявате очакванията за дългосрочната ефективност. С подобряването нивото на риска ще продължи да спада с течение на времето – но кривата няма да е толкова стръмна, а печалбите ще са по-незначителни. С течение на времето разходите за подобряване на представянето могат да бъдат много по-високи, а възвръщаемостта – по-малко видима. Това е признакът на ефективна, зряла програма за киберсигурност със силен акцент върху управлението на риска, но постигането ѝ ще отнеме много време. Ето защо ранното определяне на очакванията по отношение на ефективността и риска ще ви помогне да си осигурите необходимото пространство, за да продължите да предприемате действия.
Привличането на вниманието на ниво управителен съвет е една от целите, които много CISO имат, тъй като това е част от кариерния им път и ги поставя в добра позиция за бъдещи роли. Това поставя акцент върху това какво правите и как се изпълняват приоритетите ви. Според един CISO, с когото разговаряхме по повод докладването на борда, това е подобно на известния цитат на Оскар Уайлд: „Единственото по-лошо нещо от това да се говори за теб е да не се говори за теб“. Предприемането на действия е най-добрият подход, за да покажете, че заслужавате това внимание.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.