CISO са изправени пред планини от регулации

Picture of e-security.bg
e-security.bg
Важно да знаете

Идентифицирането и справянето с киберриска е ключово предизвикателство за CISO, а в условията на предстоящи регулации е от решаващо значение лидерите по сигурността да се усъвършенстват.

CISO по целия свят се сблъскват с предизвикателството да определят количествено нивото на киберриска в организацията си, за да получат подкрепа за сигурността на ниво управителен съвет, но как изглежда това на практика?

В разговор с ITPro Тим Гривсън, SVP и глобален съветник по киберрисковете в Bitsight, който е сред най-добрите CSO за 2023 г., съобщи, че по време на пътуванията си, когато е говорил с CISO по целия свят, е установил, че новите разпоредби относно киберустойчивостта карат лидерите по сигурността да управляват киберрисковете си по различен начин.

„Грижа се за Bitsight от глобална гледна точка, т.е. за EMEA, APAC и САЩ, и едно от нещата, които със сигурност движат мисленето на [CISO], са планините от регулации, които се появяват, независимо дали става въпрос за NIS2 в Европа, SOC 2 в САЩ, киберзакона в Сингапур или Австралия.“

Но Гривсън каза, че това поражда нови предизвикателства относно начина, по който тези ръководители могат да съберат различните заплахи, пред които е изправена тяхната организация, в единна метрика, която след това може да се използва за съобщаване на риска както на управителните съвети, така и на одиторите.

„Предизвикателството, пред което са изправени CISO и главните отговорници по риска, е количественото определяне на техния риск във финансово изражение. Да разберат каква е повърхността на атаката, какво покриват вътрешно и външно, но също и във веригата за доставки.“

Организациите са доста добри в разбирането и подобряването на своята позиция по отношение на сигурността, отбеляза Гривсън, но нарастващите проблеми, като например атаките по веригата на доставки или масовото използване на уязвимости в крайни устройства, правят тази задача много по-сложна.

„Това, което забелязах, е, че [организациите] са склонни да се грижат за себе си наистина добре, но веригата на доставките сякаш следва темпото и не е съвсем на ниво по отношение на разбирането на това какви са активите, какви са договорите, какви са рисковете и количественото им определяне в разбираем за бизнеса вид.“

Гривсън разкри, че при срещи с редица CISO в региона на AIPAC разговорът бързо се е насочил към възходящата тенденция на високопрофилни инциденти със сигурността, причинени от използването на уязвимости в доставчиците на организацията от трети или дори четвърти страни.

„Започнахме да говорим за управление на риска от трети страни, управление на веригата за доставки, риск за хората и как това се обединява, за да бъде цялостен поглед в сигурността? Защото, ако не разбирате активите си, как бихте могли да ги приоритизирате, как след това да ги ограничите и как всъщност да определите количествено този риск за вашия бизнес?“

Първото нещо, което трябва да се промени, твърди Гривсън, е този наследен начин на мислене за сигурността на периметъра, който е недостатъчен в един все по-взаимосвързан цифров свят.

Определянето на приоритетите е мястото, където много организации се провалят при намаляването на киберриска
Първата част от този пъзел е видимостта, отбеляза Гривсън, заявявайки, че ако предприятията не разбират с какво разполагат по отношение на инструментите и услугите, които съставляват тяхната повърхност за атака, те неизбежно няма да успеят да идентифицират къде могат да бъдат изложени на риск чрез някоя от своите партньорски организации, доставчици или клиенти.

Компаниите могат да правят годишна оценка, но уязвимостите се появяват постоянно. Необходимо е да се прави непрекъсната оценка, непрекъснат мониторинг, оценки за включване в системата, както и да се прави годишна оценка. Ако не правите непрекъснати оценки, може да пропуснете нещо, защото го правите само през 12 месеца, а не постоянно.“

След като организациите разполагат с това ниво на видимост, възможността да определят какво да смекчат и кога се превръща в следващото предизвикателство за лидерите в областта на сигурността.

Умората от предупрежденията“ е често срещано явление в сектора на сигурността и опитите да се държи сметка за разрастващите се повърхности на атаки, като се приоритизират проблемите, на които трябва да се обърне внимание, ще стават все по-важни, твърди Гривсън.

Той отбеляза, че всеки бизнес има определено ниво на риск, което е готов да понесе, а определянето на този риск е упражнение за определяне на приоритети и преценка кои услуги са от съществено значение за бизнеса.

„Начинът да го определите е наистина да проведете диалог с ръководството си за това кои са важните активи или услуги, които предоставяте? Каква е стойността им? Това е мястото, където много организации се провалят, те не разбират какво имат по отношение на тази повърхност за атаки и са склонни да изглеждат много изолирани“.

След като бъдат идентифицирани критичните активи на организацията, ръководителите по сигурността ще трябва да определят приоритетите си по отношение на заплахите, на които да обърнат първо внимание, като според Гривсън това е въпрос на въздействие и вероятност.

Той обяснява, че това включва финансовите и времевите разходи за предприемане на мерки за смекчаване на последиците, както и нивото на риск, на което конкретната заплаха излага бизнеса. След това това уравнение може да се използва за генериране на метрика, чрез която CISO могат да съобщят на управителните съвети и регулаторните органи за нивото на риска.

Количествено определяне на киберриска: „Истински важното е да го измерим“

Гривсън формулира идеята си за зрял подход към управлението на киберриска по отношение на видимостта, приоритизирането, комуникацията и количественото определяне, като твърди, че всяко от тях е жизненоважно за получаване на цялостна представа за заплахите, пред които е изправена организацията.

„Идентифицирайте риска. Приоритизиране на риска. Комуникирайте риска с управителния съвет на разбираем за тях език, за да могат да разпределят правилните ресурси, пари и възможности, а след това трябва да въведете план за намаляване на риска. Но накрая мисля, че истински важното нещо е да го измерите.“

Според Гривсън способността да се преобразува рискът в абстрактен смисъл в смилаема метрика е от съществено значение, ако искате ефективно да комуникирате киберриска като общ бизнес риск, както и за разбирането на въздействието на мерките за смекчаване върху тази експозиция.

„Къде ще бъде киберрискът [на организацията] днес? Къде ще бъде той, когато въведете смекчаващи контроли или ако намалите или елиминирате риска? Ако не го измервате, той е неизвестен. Това е способността да се уверите, че знаете какво гледате.“

Гривсън заяви, че това разбиране за киберриска не се развива достатъчно бързо в сравнение със скоростта на промените, които настъпват в пейзажа на заплахите, но предположи, че новите регулаторни задължения на предприятията допълнително подтикват ръководителите да се съсредоточат върху получаването на по-ясна представа за това какви киберрискове имат.

„Не се развива достатъчно бързо, но това, което според мен ще доведе до тази промяна, са навлизащите регулации. Знаете, че е необходимо да се докладва своевременно. Необходимост да разберете въздействието и вероятността от това, което трябва да докладвате на регулатора.“

 

#анализи
itpro.co.uk

Подобни

Джак Дорси под натиск заради масови съкращения
10.03.2026
fired
Автономните оръжейни системи са по дефиниция незаконни според Луси Съчман
10.03.2026
dreamstimefree_5115959
Honor Robot Phone: Смартфонът, който танцува и следи лица
10.03.2026
honor
Съдът на ЕС: банките трябва незабавно да възстановяват средства при неоторизирани транзакции
9.03.2026
geralt-euro-1976612_640
Ню Йорк подготвя закон срещу професионални съвети от чатботове с ИИ
9.03.2026
franganillo-ai-generated-7975716_640
Polymarket поражда нови въпроси за спекулации с глобални кризи
9.03.2026
Polymarket

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Българските торент сайтове продължават да изчезват
27.02.2026
pirate-flag-7541041_640
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Социалните мрежи и младите - между канализиране на общественото мнение и манипулация
7.12.2025
spasov

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.