Търсене
Close this search box.

CISO са изправени пред планини от регулации

Идентифицирането и справянето с киберриска е ключово предизвикателство за CISO, а в условията на предстоящи регулации е от решаващо значение лидерите по сигурността да се усъвършенстват.

CISO по целия свят се сблъскват с предизвикателството да определят количествено нивото на киберриска в организацията си, за да получат подкрепа за сигурността на ниво управителен съвет, но как изглежда това на практика?

В разговор с ITPro Тим Гривсън, SVP и глобален съветник по киберрисковете в Bitsight, който е сред най-добрите CSO за 2023 г., съобщи, че по време на пътуванията си, когато е говорил с CISO по целия свят, е установил, че новите разпоредби относно киберустойчивостта карат лидерите по сигурността да управляват киберрисковете си по различен начин.

„Грижа се за Bitsight от глобална гледна точка, т.е. за EMEA, APAC и САЩ, и едно от нещата, които със сигурност движат мисленето на [CISO], са планините от регулации, които се появяват, независимо дали става въпрос за NIS2 в Европа, SOC 2 в САЩ, киберзакона в Сингапур или Австралия.“

Но Гривсън каза, че това поражда нови предизвикателства относно начина, по който тези ръководители могат да съберат различните заплахи, пред които е изправена тяхната организация, в единна метрика, която след това може да се използва за съобщаване на риска както на управителните съвети, така и на одиторите.

„Предизвикателството, пред което са изправени CISO и главните отговорници по риска, е количественото определяне на техния риск във финансово изражение. Да разберат каква е повърхността на атаката, какво покриват вътрешно и външно, но също и във веригата за доставки.“

Организациите са доста добри в разбирането и подобряването на своята позиция по отношение на сигурността, отбеляза Гривсън, но нарастващите проблеми, като например атаките по веригата на доставки или масовото използване на уязвимости в крайни устройства, правят тази задача много по-сложна.

„Това, което забелязах, е, че [организациите] са склонни да се грижат за себе си наистина добре, но веригата на доставките сякаш следва темпото и не е съвсем на ниво по отношение на разбирането на това какви са активите, какви са договорите, какви са рисковете и количественото им определяне в разбираем за бизнеса вид.“

Гривсън разкри, че при срещи с редица CISO в региона на AIPAC разговорът бързо се е насочил към възходящата тенденция на високопрофилни инциденти със сигурността, причинени от използването на уязвимости в доставчиците на организацията от трети или дори четвърти страни.

„Започнахме да говорим за управление на риска от трети страни, управление на веригата за доставки, риск за хората и как това се обединява, за да бъде цялостен поглед в сигурността? Защото, ако не разбирате активите си, как бихте могли да ги приоритизирате, как след това да ги ограничите и как всъщност да определите количествено този риск за вашия бизнес?“

Първото нещо, което трябва да се промени, твърди Гривсън, е този наследен начин на мислене за сигурността на периметъра, който е недостатъчен в един все по-взаимосвързан цифров свят.

Определянето на приоритетите е мястото, където много организации се провалят при намаляването на киберриска
Първата част от този пъзел е видимостта, отбеляза Гривсън, заявявайки, че ако предприятията не разбират с какво разполагат по отношение на инструментите и услугите, които съставляват тяхната повърхност за атака, те неизбежно няма да успеят да идентифицират къде могат да бъдат изложени на риск чрез някоя от своите партньорски организации, доставчици или клиенти.

Компаниите могат да правят годишна оценка, но уязвимостите се появяват постоянно. Необходимо е да се прави непрекъсната оценка, непрекъснат мониторинг, оценки за включване в системата, както и да се прави годишна оценка. Ако не правите непрекъснати оценки, може да пропуснете нещо, защото го правите само през 12 месеца, а не постоянно.“

След като организациите разполагат с това ниво на видимост, възможността да определят какво да смекчат и кога се превръща в следващото предизвикателство за лидерите в областта на сигурността.

Умората от предупрежденията“ е често срещано явление в сектора на сигурността и опитите да се държи сметка за разрастващите се повърхности на атаки, като се приоритизират проблемите, на които трябва да се обърне внимание, ще стават все по-важни, твърди Гривсън.

Той отбеляза, че всеки бизнес има определено ниво на риск, което е готов да понесе, а определянето на този риск е упражнение за определяне на приоритети и преценка кои услуги са от съществено значение за бизнеса.

„Начинът да го определите е наистина да проведете диалог с ръководството си за това кои са важните активи или услуги, които предоставяте? Каква е стойността им? Това е мястото, където много организации се провалят, те не разбират какво имат по отношение на тази повърхност за атаки и са склонни да изглеждат много изолирани“.

След като бъдат идентифицирани критичните активи на организацията, ръководителите по сигурността ще трябва да определят приоритетите си по отношение на заплахите, на които да обърнат първо внимание, като според Гривсън това е въпрос на въздействие и вероятност.

Той обяснява, че това включва финансовите и времевите разходи за предприемане на мерки за смекчаване на последиците, както и нивото на риск, на което конкретната заплаха излага бизнеса. След това това уравнение може да се използва за генериране на метрика, чрез която CISO могат да съобщят на управителните съвети и регулаторните органи за нивото на риска.

Количествено определяне на киберриска: „Истински важното е да го измерим“

Гривсън формулира идеята си за зрял подход към управлението на киберриска по отношение на видимостта, приоритизирането, комуникацията и количественото определяне, като твърди, че всяко от тях е жизненоважно за получаване на цялостна представа за заплахите, пред които е изправена организацията.

„Идентифицирайте риска. Приоритизиране на риска. Комуникирайте риска с управителния съвет на разбираем за тях език, за да могат да разпределят правилните ресурси, пари и възможности, а след това трябва да въведете план за намаляване на риска. Но накрая мисля, че истински важното нещо е да го измерите.“

Според Гривсън способността да се преобразува рискът в абстрактен смисъл в смилаема метрика е от съществено значение, ако искате ефективно да комуникирате киберриска като общ бизнес риск, както и за разбирането на въздействието на мерките за смекчаване върху тази експозиция.

„Къде ще бъде киберрискът [на организацията] днес? Къде ще бъде той, когато въведете смекчаващи контроли или ако намалите или елиминирате риска? Ако не го измервате, той е неизвестен. Това е способността да се уверите, че знаете какво гледате.“

Гривсън заяви, че това разбиране за киберриска не се развива достатъчно бързо в сравнение със скоростта на промените, които настъпват в пейзажа на заплахите, но предположи, че новите регулаторни задължения на предприятията допълнително подтикват ръководителите да се съсредоточат върху получаването на по-ясна представа за това какви киберрискове имат.

„Не се развива достатъчно бързо, но това, което според мен ще доведе до тази промяна, са навлизащите регулации. Знаете, че е необходимо да се докладва своевременно. Необходимост да разберете въздействието и вероятността от това, което трябва да докладвате на регулатора.“

 

Източник: itpro.co.uk

Подобни публикации

18 юни 2024

Koсмосът: Последната граница за кибератаки

Неспособността да си представим – и да се подготвим за –...
18 юни 2024

Лондонските болници още не могат да се съвземат...

Няколко лондонски болници, които все още не са се справили с кибера...
17 юни 2024

Арестуваха британец от Scattered Spider

22-годишен британски гражданин, за когото се предполага, че е свърз...
17 юни 2024

Adobe с вътрешни проблеми на фона на опасения, ...

Adobe гаси пожар на два фронта заради политиката си за използване н...
17 юни 2024

Потребностите от електроенергия в центровете за...

Новото партньорство на Google с базираната в Невада компания NV Ene...
17 юни 2024

Microsoft поправи безкликова уязвимост в Outlook

Morphisec предупреждава, че една от уязвимостите, които Microsoft о...
17 юни 2024

ASUS предупреждава за проблеми при 7 рутера

ASUS пусна нова актуализация на фърмуера, която отстранява уязвимос...
16 юни 2024

CISA предупреждава за бъг в Windows, използван ...

Американската агенция за киберсигурност и инфраструктурна сигурност...
16 юни 2024

Бивш служител е осъден на 32 месеца затвор за и...

Бивш служител на National Computer Systems (NCS), отговарящ за осиг...
Бъдете социални
Още по темата
18/06/2024

Koсмосът: Последната границ...

Неспособността да си представим – и...
15/06/2024

Наследените технологии преч...

Според ново проучване остарелите наследени технологии...
14/06/2024

Засилени киберзаплахи пред ...

Евро 2024  в Германия започва след...
Последно добавени
18/06/2024

Koсмосът: Последната границ...

Неспособността да си представим – и...
18/06/2024

Лондонските болници още не ...

Няколко лондонски болници, които все още...
17/06/2024

Арестуваха британец от Scat...

22-годишен британски гражданин, за когото се...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!