Търсене
Close this search box.

Киберсигурността никога не е била по-видима в бизнеса. Самият брой истории за хакерски атаки, засягащи компаниите, изтласкаха темата на дневен ред, а изискванията на Комисията за ценни книжа и фондови борси за отчитане на киберсигурността ще принудят и други компании да подобрят позицията си. Въздействието в тази област означава, че сега е по-вероятно от всякога управителните съвети да включват CISO или еквивалент в състава си.

Според проучването на Heidrick and Struggles за 2022 г. на главните директори по информационна сигурност (CISO) вече имат вниманието на управителния съвет – 88% представят ежемесечно дейността си пред целия управителен съвет или пред комитет на управителния съвет по киберсигурност.

Така че като специалисти по киберсигурност би трябвало да сме достигнали обетованата земя, където влиянието ни се усеща и можем да постигнем целите, които искаме да постигнем, нали? Не е така. Подобно на куче, което е преследвало кола, сега сме я хванали и трябва да разберем какво точно ще постигнем с произтичащата от това отговорност. Истината е, че тежката работа едва сега започва.

Действие, а не думи

Не е достатъчно да предоставим информация за сигурността, която бордът да разбере, въпреки че това е самостоятелно умение. Най-голямото предизвикателство, пред което са изправени CISO, е как да покажем, че нашите процеси и актуализации в областта на сигурността ще намалят риска по измерим и постижим начин. За тези от нас, които са се борили, за да получат място на масата, този незабавен отговор може да изглежда като слаба възвръщаемост на всички тези инвестиции.

Бордовете са загрижени за риска и отговорностите, така че вашият подход трябва да се концентрира върху риска, вероятността и намаляването му. Този акцент върху действията може да бъде огромен стимул за извършване на промени в подхода ви. Това също така може да бъде възможност да разгледате как да направите повече от основните неща правилно във вашата дейност. Проследяването на области като управление на активите и кръпки може да не е от значение за отчетите пред съвета, но подобряването на тези процеси с помощта на автоматизация и изкуствен интелект може да доведе до значителни подобрения.

Например получаването на по-голяма подкрепа от борда може да даде възможност да се възприеме подходът „празен лист хартия“ към планирането на сигурността и процесите, като се използват правомощията на борда, за да се наложат актуализации или нови начини на работа. За повечето утвърдени компании обаче този подход може да не е възможен. Повечето организации смятат, че ще бъдат пробити, когато формулират своята позиция по отношение на сигурността. Сега те трябва да направят още една стъпка напред и да приемат, че промяната е неизбежна и че някои традиционни процеси и техники просто не са достатъчно бързи, за да се справят с нивото и сложността на настоящите заплахи.

Демонстрирайте въздействието

Вторият елемент тук е да демонстрирате, че действията ви оказват въздействие. За тази цел трябва да прецените дали промените ви ще покажат незабавни резултати или ще се усетят в дългосрочен план. Също така ще трябва да разберете дали тези резултати представляват еднократни подобрения или възможности за дългосрочни печалби, тъй като това ще повлияе на начина, по който обсъждате тези области с управителния съвет. Този подход идва с предупреждение – не забравяйте да разгледате риска. Въпреки че бързите резултати са добри за връзките с обществеността, те не винаги намаляват риска, така че CISO трябва да правят и двете.

За тези, които са нови в ролята, извършването на промени може да доведе до бързи подобрения. Като пример, подобряването на приоритизирането на кръпките трябва да улесни отстраняването на критични проблеми и проблеми с висок риск за сигурността. Доказването, че тези проблеми са отстранени в рамките на договорените параметри на споразумението за ниво на обслужване, е чудесен начин да демонстрирате, че управлявате проблемите – и следователно риска – ефективно. Въпреки това може да се наложи да промените вашето SLA – например 30 дни за извършване на поправки около критични проблеми не са достатъчни. Тези данни могат да се използват и за намаляване на разходите за киберзастрахователни премии, тъй като можете да демонстрирате добре управлявана и поддържана система във времето.

Като част от това трябва да разгледате и как да управлявате очакванията за дългосрочната ефективност. С подобряването нивото на риска ще продължи да спада с течение на времето – но кривата няма да е толкова стръмна, а печалбите ще са по-незначителни. С течение на времето разходите за подобряване на представянето могат да бъдат много по-високи, а възвръщаемостта – по-малко видима. Това е признакът на ефективна, зряла програма за киберсигурност със силен акцент върху управлението на риска, но постигането ѝ ще отнеме много време. Ето защо ранното определяне на очакванията по отношение на ефективността и риска ще ви помогне да си осигурите необходимото пространство, за да продължите да предприемате действия.

Предприемане на действия

Привличането на вниманието на ниво управителен съвет е една от целите, които много CISO имат, тъй като това е част от кариерния им път и ги поставя в добра позиция за бъдещи роли. Това поставя акцент върху това какво правите и как се изпълняват приоритетите ви. Според един  CISO, с когото разговаряхме по повод докладването на борда, това е подобно на известния цитат на Оскар Уайлд: „Единственото по-лошо нещо от това да се говори за теб е да не се говори за теб“. Предприемането на действия е най-добрият подход, за да покажете, че заслужавате това внимание.

Източник: DARKReading

Подобни публикации

2 декември 2024

Две болници в Англия са засегнати от кибератаки...

Миналата седмица две болници на Националната здравна служба (NHS) в...
2 декември 2024

Арестуваха Михаил Павлович Матвеев

Руските власти съобщават, че са арестували Михаил Павлович Матвеев,...
2 декември 2024

6 ключови действия за спазване на разпоредбите ...

NIS2, PCI DSS, GDPR, HIPAA или CMMC… този дълъг списък от сък...
2 декември 2024

Микролайнерът на този стартъп обещава по-евтин ...

Годината беше трудна за стартиращите компании за въздушни таксита. ...
1 декември 2024

Evil Twin WiFi Attack: Ръководство "Стъпка по с...

Добре дошли в задълбоченото изследване на WiFi атаките на злите бли...
1 декември 2024

Клуб от италианската Серия А стана жертва на ра...

Футболен клуб „Болоня 1909“ потвърди, че е претърпял атака с цел от...
30 ноември 2024

Загубите от хакове и измами с криптовалути прод...

През ноември загубите на криптовалута от хакове и измами  отново на...
Бъдете социални
Още по темата
18/07/2024

Сигурността в облака и експ...

Въпреки че изкуственият интелект е на...
05/05/2024

Олимпиада под прицел

Въпреки че служителите на Олимпийските игри...
20/03/2024

Kои приложения използват на...

Въпреки че “неограничените” планове за интернет...
Последно добавени
02/12/2024

Две болници в Англия са зас...

Миналата седмица две болници на Националната...
02/12/2024

Арестуваха Михаил Павлович ...

Руските власти съобщават, че са арестували...
02/12/2024

6 ключови действия за спазв...

NIS2, PCI DSS, GDPR, HIPAA или...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!