1

100% безпека — місія неможлива?

Рано чи пізно ІТ-директорам та CISO доводиться чітко та ясно відповісти на «чутливе» запитання Ради директорів: чи ми захищені на 100%?

 

Отже, як керівник, що піклується про безпеку, може відповісти на таке важливе запитання? Ось деякі рекомендації, що можна і чого не можна казати, відповідаючи на це важливе запитання:

 

МОЖНА КАЗАТИ:

 

  • Замість того, щоб казати «ми захищені на 100%», спілкуйтеся та пояснюйте директорам, що означає управління ризиками кібербезпеки. Зазначте, що ландшафт загроз постійно зростає, тож управління кіберризиками є подорожжю, а не пунктом призначення. Зверніть увагу, наскільки вони готові приймати ризики, враховуючи численні обмеження, пов’язані з розміром компанії та відповідним бюджетом і ресурсами.

 

  • Використовуйте не більше п’яти слайдів під час презентації для правління/керівництва. Говоріть про ризики для бізнесу в разі потенційного зламу. Вкажіть важливі/критичні бізнес-системи та розкажіть про вплив на бізнес-операції, враховуючи поточний і майбутній ландшафт загроз.

 

  • Поясніть, як фраза «ми захищені на 100%» не дозволяє ефективно визначити кіберризики, а також як кіберзрілість і управління ризиками є ключовими показниками ефективності програм з кібербезпеки та ризик-менеджменту організації. Керівник служби безпеки має це пояснити з самого початку.

 

  • Використовуйте сертифікати безпеки та відповідності. Зовнішня валідація та акредитація надзвичайно важливі для організацій, які забезпечують захист своїх даних і дотримання нормативних вимог. Наголошуйте, що це обов’язкові речі. Знову ж таки, спілкуйтеся з точки зору кіберзрілості та управління ризиками критичних бізнес-активів і потенційного впливу на бізнес.

 

 

  • Поясніть, чому організаціям потрібно інвестувати в інструменти/технології, які інтегрують показники кіберзрілості та управління ризиками безпеки у контекст загальних бізнес-ризиків підприємства. Правління та генеральний директор добре знаються на бізнес-ризиках і зрозуміють такий підхід.

 

НЕ МОЖНА КАЗАТИ:

 

  • Ніколи не кажіть: «Ми захищені на 100%».

 

  • Продемонструйте кілька ключових показників у презентації для правління та генерального директора. Не заплутуйте їх, демонструючи занадто багато показників.

 

  • Не використовуйте галузеві сертифікати безпеки та відповідності як доказ того, що організація має 100% безпеку, навіть якщо вони служать для підвищення самовпевненості команди. Вважайте сертифікати базисом програми.

 

  • Не використовуйте безліч інструментів/технологій і не порівнюйте кількість витрачених грошей з рівнем безпеки. Великі бюджети не обов’язково означають повну безпеку.

 

Команди безпеки також повинні думати про те, щоб відповідати на ті самі запитання від ділових партнерів і клієнтів. Маючи це на увазі, ось кілька важливих висновків, які слід враховувати:

 

  • Займайте проактивну позицію з генеральним директором і правлінням. Пояснюйте, як компанія хоче вимірювати ефективність управління кіберризиками. Робіть це з першої зустрічі та на кожній наступній.

 

  • Використовуйте цей проактивний підхід до клієнтів і ділових партнерів. Важливо доносити ті самі питання клієнтам, партнерам, потенційним клієнтам, а також внутрішнім командам.

 

  • Навчальні програми з підвищення рівня безпеки. Навчіть організацію визначати, що має сенс в управлінні кіберризиками, а що ні. Розбудовуйте культуру з обізнаності у кібербезпеці на всіх рівнях організації: від керівництва до рядових співробітників.

 

  • Використовуйте ті інструменти та технології, які є релевантними для певної галузі.

 

Керівники служби безпеки повинні демонструвати не лише «яскраві» слайди, а й те, наскільки ефективно можуть формулювати й спілкуватися з усіма зацікавленими сторонами щодо програми управління кіберризиками. І в будь-якому випадку спробуйте отримати необхідний бюджет і ресурси, щоб запустити ефективну програму, щоб максимально наблизитися до утопічної «100% безпеки».

 

Джерело: scmagazine.com

Related Posts

card__image

Уразливості нульового дня: кейси про наслідки від 17 членів Технологічної Ради Forbes

Уразливості нульового дня — це недоліки або слабкі місця в програмному забезпеченні чи операційній системі, про які розробник або постачальник не в курсі. Хакери першими виявляють ці вразливості, тож дають розробникам і постачальникам «нуль днів» на випуск патча. Уразливості нульового дня можуть стати не лише раптовим головним болем для розробників і постачальників, але й здійснювати […]

card__image

4 ключові помилки у взаємодії CISO з керівництвом

Презентація перед правлінням — це перспективна можливість. ІТ-директорам (CIO) та директорам з інформаційної безпеки (CISO) було б корисно знати свою аудиторію, передбачити питання, що не стосуються порядку денного та уникати тактики залякування.   Геть не рідкість, коли CIO, CISO, а іноді й їхніх підлеглих, запрошують на засідання ради директорів або представити ІТ-стратегії та плани. Якщо […]

card__image

Безпека нульової довіри (Zero Trust Security): переваги та недоліки

Оскільки зловмисники стають дедалі більш винахідливими, підприємствам доводиться постійно боротися за те, щоб їхні політики безпеки та засоби контролю відповідали загрозам, які еволюціонують. Поверхні атак продовжують розширюватися через ускладнення технологічного ландшафту, що надає більше можливостей хакерам здійснювати масштабні атаки.   Модель нульової довіри стала потужною стратегією протидії цьому. Вона базується на ідеї «ніколи не довіряй, […]