С нарастването на заплахите и търсенето на конкурентни предимства в цифровите инициативи, киберсигурността се признава за бизнес императив, фактор и основа за поддържане на доверието на клиентите. Но в онези организации, където това все още не е признато, CISO може да се затруднят да „продадат“ допълнителните ползи, които може да донесат една киберстратегия с принципи и рамки за нулево доверие – включително активирането на хората и организационните политики около хибридната работа, безопасната цифрова трансформация, по-добрата цялостна непрекъснатост на бизнеса, гъвкавостта и устойчивостта, както и опростяването на последователното потребителско изживяване.

Предприятията често отблъскват инициативите за сигурност от страх, че въведените контроли ще усложнят работата на бизнеса или ще повлияят на потребителското изживяване. Нулевото доверие обаче е опция, която може да подобри това, като същевременно осигури правилните ключови контроли, необходими за защита на съвременното предприятие.

В резултат на това от CISO зависи да представят многобройните ѝ предимства на главния мениджър и да преведат бизнес лидерите през процеса на организационна промяна. Изключително важно е организационните лидери от всички отдели (не само технологичния) да разберат защо нулевото доверие е нещо повече от сигурност – то е критичен бизнес императив.

Представяне на важността пред ръководителите

Когато представят нулевото доверие на главния изпълнителен директор, е важно CISO да подходят към това от няколко гледни точки. Перспективата на стратегията за сигурност е централна за представянето, но за да се предаде по-голямата картина, е от решаващо значение също така да се очертаят и разяснят оперативните и търговските ползи от нулевото доверие и как то може да се отрази положително на други организационни стратегии, като например технологиите и стратегиите на бизнес звената, както и на споделените услуги, като например хората, културата и финансите.

Бизнес разговорите за ползите трябва да бъдат търговски ориентирани и в контекста на бизнеса, за да се очертае изрично как архитектурата на нулевото доверие съответства на ключовите показатели и цели на главния изпълнителен директор и изпълнителния екип. В този случай е от решаващо значение да се съобщят тези ползи, за да се получи необходимото одобрение и подкрепа, преди да се представят на борда.

CISO не бива да се ограничават с определянето на най-добрите средства за доставка за финансиране на техните кибер инициативи, независимо дали става въпрос за бизнес инициатива, технологична инициатива или част от специална кибер програма. Инициативите за нулево доверие могат да бъдат включени в програмите за опростяване на мрежите, които организациите вече са въвели, за да позволят оперативна ефективност и да намалят техническия дълг – от управлението на жизнения цикъл на хардуера до оптимизирането на персонала за технологични задачи с по-висока стойност. Благодарение на това инициативите за нулево доверие могат да подобрят бизнес стойността и да помогнат за постигане на целите, свързани с поддържане на разходите, постигане на по-широка ефективност и допълване на избора на стратегически платформи, в които бизнесът вече е инвестирал.

По отношение на въздействието върху капиталовите и оперативните разходи внедряването на нулевото доверие може да помогне на кибернетичния екип да се възползва от две основни предимства. Първо, екипът е в състояние да наеме най-добрите служители в резултат на присъщия му оперативен модел, фокусиран върху задачи с висока стойност в областта на сигурността, като например оптимизиране на политиките, а не върху задачи с по-ниска стойност, като например управление на кръпките. От гледна точка на заплахите архитектурата с нулево доверие позволява на организациите да бъдат по-гъвкави по отношение на посрещането на бъдещи бизнес нужди, както и да допълват и интегрират съществуващите контроли. Това осигурява хармонизиране на контрола, за да може организацията да получи най-голяма стойност от инвестициите си в контрола на сигурността.

От ключово значение е да се продаде цялостната визия за наличие на синергии в една област и бизнес ползи в друга, да се очертаят средствата за доставка и възможностите за финансиране, като същевременно се подчертае стойността на технологичното опростяване и намаляването на риска.

Представяне на предложението пред борда

Бордът на директорите не е оперативно ориентиран, неговата цел е да гарантира, че ръководството е компетентно и изпълнява решенията си въз основа на правилните стратегически бизнес резултати. По отношение на киберсигурността, бордът и комитетът за одит и риск са фокусирани върху това да гарантират, че бизнесът работи в рамките на толерантността и апетита за риск и разполага с правилните контролни механизми, за да поддържа този апетит по устойчив начин. В този случай фокусът на CISO при представянето на концепциите за нулево доверие пред борда следва да се съсредоточи върху два ключови стълба: образование и управление.

Образователната част може да включва обща информация за нулевото доверие, като се разглеждат неотдавнашни нарушения в реалния свят и се представят начините, по които архитектурата и контролът на нулевото доверие работят за намаляване на риска на макроравнище. Очертаването на непрекъснатия пейзаж на заплахите с прости бизнес термини, които ще се харесат на тези, които нямат техническо образование, като част от постоянна кампания за повишаване на осведомеността, ще работи за образоване на управителния съвет относно стойността на кибернетиката при изграждането на доверие. В същото време това показва проактивност от страна на ръководството, вместо да се реагира на ситуацията.

Частта за управление трябва да включва ключови рискови индикатори, демонстриращи ефективността на контролите при управлението на операционния риск, като се използват както количествени, така и качествени методи за оценка на риска.

CISO обикновено имат един шанс да изградят доверие у своя борд и това трябва да се случи още на първата стъпка. За да бъде успешно, представянето трябва първо да премине през съответните вратички на етапа на управление, за да се гарантира, че изпълнителният екип подкрепя и разбира защо е необходимо нулево доверие. Тук е изключително важно да се обсъди цялостната идея на бизнес език, като се контекстуализира и концептуализира технологията по начин, който групата разбира въз основа на познанията си за индустрията.

Заключение

Докато гарантирате, че представянето на главния изпълнителен директор и борда на директорите е успешно, друга важна част от пъзела е подкрепата от страна на ключовите бизнес заинтересовани страни и ръководители. Разбирането на различните бизнес нужди в секторите на организацията и способността да се приложи обектив на сигурността в допълнение към това е ключов механизъм за създаване на стойност.

Успешното мащабиране на сигурността в организацията изисква подкрепа от много различни ръководители. Изграждането на шампиони в различни бизнес области е от решаващо значение за мащабирането и засилването на гласа на сигурността. Поддържането на тези взаимоотношения, демонстрирането на показатели и предоставянето на информация и прозрачност укрепва културата на организацията, която колективно разбира защо тя е важна и каква е нейната стойност.

Нулевото доверие предлага редица значими ползи, които го превръщат в незаобиколим бизнес императив за изпълнителните лидери и управителния съвет. Освен добре познатите аспекти на сигурността, чрез внедряването на нулево доверие организациите могат да имат подобрено преживяване на служителите, безопасно да преминат през цифрова трансформация и да подобрят бизнес възможностите, които влияят върху по-силното представяне и в резултат на това позволяват по-добри общи бизнес резултати.

 

 

Източник: По материали от Интернет

Подобни публикации

19 януари 2025

Нарушението на данните на Wolf Haldenstein зася...

Адвокатската кантора Wolf Haldenstein Adler Freeman & Herz LLP ...
19 януари 2025

САЩ призовават за преодоляване на разликата в р...

Агенцията за киберсигурност CISA и други правителствени агенции при...
19 януари 2025

САЩ наложиха санкции за масираната хакерска ата...

Министерството на финансите обяви в петък санкции във връзка с маща...
19 януари 2025

Фалшивият Брад Пит е разкрит: как етичен хакер ...

Маруан Уараб, бивш измамник и киберпрестъпник, превърнал се в етиче...
18 януари 2025

FTC нарежда на GoDaddy да коригира неадекватнит...

След като установи, че политиките за сигурност на GoDaddy са недост...
17 януари 2025

SSO - опростете достъпа и защитете бизнеса си

Днес предприятията са изправени пред сложна работна среда, в която ...
Бъдете социални
Още по темата
12/12/2024

Ключове за разбиране на MDR...

Еволюция на решенията за откриване и...
07/12/2024

Нови насоки на NIST: Преосм...

Националният институт по стандартизация и технологии...
07/12/2024

Злонамерени вътрешни лица

Злонамерени вътрешни лица могат да бъдат...
Последно добавени
19/01/2025

Нарушението на данните на W...

Адвокатската кантора Wolf Haldenstein Adler Freeman...
19/01/2025

САЩ призовават за преодоляв...

Агенцията за киберсигурност CISA и други...
19/01/2025

САЩ наложиха санкции за мас...

Министерството на финансите обяви в петък...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!