Търсене
Close this search box.

Бордовете не искат обещания за сигурност, а искат действия

Киберсигурността никога не е била по-видима в бизнеса. Самият брой истории за хакерски атаки, засягащи компаниите, изтласкаха темата на дневен ред, а изискванията на Комисията за ценни книжа и фондови борси за отчитане на киберсигурността ще принудят и други компании да подобрят позицията си. Въздействието в тази област означава, че сега е по-вероятно от всякога управителните съвети да включват CISO или еквивалент в състава си.

Според проучването на Heidrick and Struggles за 2022 г. на главните директори по информационна сигурност (CISO) вече имат вниманието на управителния съвет – 88% представят ежемесечно дейността си пред целия управителен съвет или пред комитет на управителния съвет по киберсигурност.

Така че като специалисти по киберсигурност би трябвало да сме достигнали обетованата земя, където влиянието ни се усеща и можем да постигнем целите, които искаме да постигнем, нали? Не е така. Подобно на куче, което е преследвало кола, сега сме я хванали и трябва да разберем какво точно ще постигнем с произтичащата от това отговорност. Истината е, че тежката работа едва сега започва.

Действие, а не думи

Не е достатъчно да предоставим информация за сигурността, която бордът да разбере, въпреки че това е самостоятелно умение. Най-голямото предизвикателство, пред което са изправени CISO, е как да покажем, че нашите процеси и актуализации в областта на сигурността ще намалят риска по измерим и постижим начин. За тези от нас, които са се борили, за да получат място на масата, този незабавен отговор може да изглежда като слаба възвръщаемост на всички тези инвестиции.

Бордовете са загрижени за риска и отговорностите, така че вашият подход трябва да се концентрира върху риска, вероятността и намаляването му. Този акцент върху действията може да бъде огромен стимул за извършване на промени в подхода ви. Това също така може да бъде възможност да разгледате как да направите повече от основните неща правилно във вашата дейност. Проследяването на области като управление на активите и кръпки може да не е от значение за отчетите пред съвета, но подобряването на тези процеси с помощта на автоматизация и изкуствен интелект може да доведе до значителни подобрения.

Например получаването на по-голяма подкрепа от борда може да даде възможност да се възприеме подходът „празен лист хартия“ към планирането на сигурността и процесите, като се използват правомощията на борда, за да се наложат актуализации или нови начини на работа. За повечето утвърдени компании обаче този подход може да не е възможен. Повечето организации смятат, че ще бъдат пробити, когато формулират своята позиция по отношение на сигурността. Сега те трябва да направят още една стъпка напред и да приемат, че промяната е неизбежна и че някои традиционни процеси и техники просто не са достатъчно бързи, за да се справят с нивото и сложността на настоящите заплахи.

Демонстрирайте въздействието

Вторият елемент тук е да демонстрирате, че действията ви оказват въздействие. За тази цел трябва да прецените дали промените ви ще покажат незабавни резултати или ще се усетят в дългосрочен план. Също така ще трябва да разберете дали тези резултати представляват еднократни подобрения или възможности за дългосрочни печалби, тъй като това ще повлияе на начина, по който обсъждате тези области с управителния съвет. Този подход идва с предупреждение – не забравяйте да разгледате риска. Въпреки че бързите резултати са добри за връзките с обществеността, те не винаги намаляват риска, така че CISO трябва да правят и двете.

За тези, които са нови в ролята, извършването на промени може да доведе до бързи подобрения. Като пример, подобряването на приоритизирането на кръпките трябва да улесни отстраняването на критични проблеми и проблеми с висок риск за сигурността. Доказването, че тези проблеми са отстранени в рамките на договорените параметри на споразумението за ниво на обслужване, е чудесен начин да демонстрирате, че управлявате проблемите – и следователно риска – ефективно. Въпреки това може да се наложи да промените вашето SLA – например 30 дни за извършване на поправки около критични проблеми не са достатъчни. Тези данни могат да се използват и за намаляване на разходите за киберзастрахователни премии, тъй като можете да демонстрирате добре управлявана и поддържана система във времето.

Като част от това трябва да разгледате и как да управлявате очакванията за дългосрочната ефективност. С подобряването нивото на риска ще продължи да спада с течение на времето – но кривата няма да е толкова стръмна, а печалбите ще са по-незначителни. С течение на времето разходите за подобряване на представянето могат да бъдат много по-високи, а възвръщаемостта – по-малко видима. Това е признакът на ефективна, зряла програма за киберсигурност със силен акцент върху управлението на риска, но постигането ѝ ще отнеме много време. Ето защо ранното определяне на очакванията по отношение на ефективността и риска ще ви помогне да си осигурите необходимото пространство, за да продължите да предприемате действия.

Предприемане на действия

Привличането на вниманието на ниво управителен съвет е една от целите, които много CISO имат, тъй като това е част от кариерния им път и ги поставя в добра позиция за бъдещи роли. Това поставя акцент върху това какво правите и как се изпълняват приоритетите ви. Според един  CISO, с когото разговаряхме по повод докладването на борда, това е подобно на известния цитат на Оскар Уайлд: „Единственото по-лошо нещо от това да се говори за теб е да не се говори за теб“. Предприемането на действия е най-добрият подход, за да покажете, че заслужавате това внимание.

Източник: DARKReading

Подобни публикации

16 април 2024

CISA издаде извънредна директива

На 11 април Агенцията за киберсигурност и инфраструктурна сигурност...
15 април 2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви ареста и повдигането на...
15 април 2024

Daixin Team ransomware е атакувала успешно Omni...

Бандата Daixin Team ransomware е извършила неотдавнашна кибератака ...
15 април 2024

За проблемите с работната сила в сферата киберс...

  За проблемите с работната сила в сферата киберсигурността в ...
15 април 2024

КНДР се възползва от 2 подтехники: Призрачно от...

Този месец MITRE ще добави две подтехники към своята база данни ATT...
15 април 2024

Хакер твърди, че е пробил Giant Tiger и пусна 2...

Канадската верига за търговия на дребно Giant Tiger разкрива наруше...
14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
Бъдете социални
Още по темата
20/03/2024

Kои приложения използват на...

Въпреки че “неограничените” планове за интернет...
28/02/2024

Предимства на включването н...

Кибератаките се развиват и стават все...
10/02/2024

Как ChatGPT промени света

ИТ индустрията непрекъснато се усъвършенства и...
Последно добавени
16/04/2024

CISA издаде извънредна дире...

На 11 април Агенцията за киберсигурност...
15/04/2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви...
15/04/2024

Daixin Team ransomware е ат...

Бандата Daixin Team ransomware е извършила...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!