Događaji poput nedavnog masovnog napada CDK ransomware-a – koji je zatvorio salone automobila širom SAD-a krajem juna 2024. – više jedva da podižu obrve javnosti.
Ipak, kompanije i ljudi koji ih vode su opravdano nervozni. Svaki CISO zna da je cyber sigurnost sve vruća tema za rukovodioce i članove odbora podjednako. A kada se krene neizbežni brifing CISO/borda, svi žele odgovore: Da li smo sigurni od napada? Da li napredujemo? Može li nam se ?
Postavlja se pitanje, kako da na njih najbolje odgovorimo? Odbor kompanije zaslužuje jasne, sažete informacije vezane za poslovne ciljeve, a ne tehničke detalje o popravkama ili metodama napada. Komunikacijski jaz između CISO-a i odbora može dovesti do nesporazuma, povećanog rizika i potencijalno razornih cyber napada. I to je razlog zašto jedan od najvažnijih izazova za CISO danas ostaje: kako predstaviti rizik na način koji odbor može razumjeti i iskoristiti za donošenje odluka na osnovu informacija?
Brojke govore
Zahvaljujući ovoj jasnoj i hitnoj potrebi za komunikacijom, nedavno istraživanje koje su proveli Heidrick and Struggles, vodeća pretraga izvršnih direktora i konsultantske usluge u vezi sa korporativnom kulturom, otkrile su zabrinjavajuću nepovezanost između CISO-a i izvršnih direktora. Samo 5% CISO-a podnosi izveštaje direktno izvršnom direktoru, što ukazuje na potencijalni nedostatak uticaja na visokom nivou, a 2⁄3 CISO-a su dva nivoa niže od generalnog direktora u strukturi izveštavanja.
To znači da je većina čelnika cyber sigurnosti i dalje udaljena nekoliko koraka od donošenja odluka u organizaciji. Studija Ponemon instituta takođe je otkrila da samo 37% organizacija misli da efikasno koriste stručnost svog CISO-a. Istraživanje iz Gartnera naglašava sličan trend: samo 10% odbora trenutno ima poseban komitet za cyber sigurnost koji nadgleda član odbora.
Ovi brojevi otkrivaju značajne slabosti u tome kako organizacije strukturiraju izvještavanje i kako odbori primaju brifinge. Uprkos direktnijoj ulozi CISO-a, izazov prevođenja rizika u jasne poslovne termine i dalje postoji
Pitanja
Kao CISO, postavljanje ovih pet ključnih pitanja može vam pomoći da premostite jaz u komunikaciji između odbora/izvršnog odbora, predstavite jasnu sliku o položaju cyber sigurnosti i dobijete podršku potrebnu za efikasno upravljanje rizikom:
1. Kako da opravdam svoj budžet za cyber sigurnost?
CISO shvataju da jaka cyber sigurnost zahtjeva stalna ulaganja. Bez jasnog obrazloženja, vaši budžetski zahtjevi su pod rizikom od smanjenja ili potpunog odbijanja. Dakle, dokažite da su vaši ciljevi ne samo dostižni već i vrijedni demonstrirajući povrat ulaganja u cyber sigurnost. Pokažite nezadovoljnicima da osiguravanjem resursa za zaštitu kritičnih podataka i infrastrukture na kraju štitite finansijsko zdravlje organizacije.
2.Kako da savladam umjetnost izvještavanja o riziku?
Savladavanje izvještavanja o rizicima je od ključne važnosti ako želite promijeniti percepciju izvršne vlasti o sajber sigurnosti. Netehnička publika bori se sa kompleksnim sigurnosnim prijetnjama. Zbog toga vaši izvještaji moraju biti jasni i vođeni podacima. Oni moraju kvantifikovati rizike u poslovnom smislu, ističući potencijalne finansijske gubitke zbog kršenja. Na ovaj način demonstrirate vrijednost ulaganja u sigurnost u zaštiti finansijskog blagostanja organizacije – premještanje cyber-sigurnosti sa troškovnog centra na poslovno sredstvo.
3.Kako da proslavim sigurnosna dostignuća?
Ne fokusirajte se samo na probleme; proslavljanje sigurnosnih pobjeda je od ključnog značaja. Prepoznavanje uspjeha vašeg tima jača moral organizacije, podstiče kulturu svijesti o sigurnosti i naglašava vrijednost ulaganja u cyber sigurnost. Javno priznanje odbijenih napada može istovremeno odvratiti napadače i uvjeriti dionike u posvećenost organizacije zaštiti podataka.
4.Kako bolje sarađivati s drugim timovima?
Učinkoviti CISO-i razumiju da cyber-sigurnost nije solo poduhvat. Jaka sigurnost oslanja se na posvećenost budnosti u cijeloj kompaniji. Zbog toga je suradnja s drugim odjelima kao što su IT, HR i Pravna pitanja neophodna. Radeći zajedno, CISO-i mogu integrirati obuku o podizanju svijesti o sigurnosti u programe za zapošljavanje i razvoj zaposlenih. Štaviše, vaši zajednički napori mogu dovesti do jasnijih sigurnosnih politika koje su u skladu sa poslovnim procesima. A saradnja jača protokole za reagovanje na incidente, osiguravajući brz i koordiniran odgovor na kršenja sigurnosti.
5.Kako da se fokusiram na ono što je najvažnije?
CISO su bombardovani prijetnjama i zadacima. Određivanje prioriteta je ključno. Fokusiranje na ono što je zaista važno osigurava da se resursi usmjeravaju na efikasan način. To znači identificirati najkritičnije sigurnosne rizike, uskladiti ih s poslovnim ciljevima vaše organizacije i strateški ih rješavati. Reći ne ometanjima i fokusirajući se na inicijative sa velikim uticajem, možete optimizovati sigurnosni stav i maksimizirati ukupnu otpornost vaše organizacije.
Povezivanje jaza: Efektivna komunikacija za CISO
Rastuća plima cyber napada zahtijeva jasnu komunikaciju između CISO-a i odbora. Da bi se premostio ovaj jaz i dobila ključna podrška, CISO-i bi trebali dati prioritet efikasnoj komunikaciji o riziku. Odbacite tehnički žargon i prevedite složene prijetnje u poslovne pojmove. Istaknite finansijski uticaj cyber napada, potencijalne štete po reputaciju i poremećaje u osnovnim operacijama. Uokvirujući cyber sigurnost kao poslovno pitanje, CISO-i mogu osigurati podršku odbora za suštinska ulaganja u sigurnost.
Osim toga, imajte na umu da komunikacija nadilazi samo predstavljanje problema. CISO bi takođe trebalo da pokažu napredak i da se odmaknu od osnovnih metrika kako bi razvili izveštaje zasnovane na podacima koji pokazuju delotvornost sigurnosni ulaganja. Ključne metrike treba pratiti, kao što su smanjenje uspješnih napada ili vrijeme potrebno da se identifikuju i obuzdaju kršenja. Ove vidljive tačke podataka pomoći će da vaša poruka stigne kući.
Izvor:The Hacker News