1

100% безпека — місія неможлива?

Рано чи пізно ІТ-директорам та CISO доводиться чітко та ясно відповісти на «чутливе» запитання Ради директорів: чи ми захищені на 100%?

 

Отже, як керівник, що піклується про безпеку, може відповісти на таке важливе запитання? Ось деякі рекомендації, що можна і чого не можна казати, відповідаючи на це важливе запитання:

 

МОЖНА КАЗАТИ:

 

  • Замість того, щоб казати «ми захищені на 100%», спілкуйтеся та пояснюйте директорам, що означає управління ризиками кібербезпеки. Зазначте, що ландшафт загроз постійно зростає, тож управління кіберризиками є подорожжю, а не пунктом призначення. Зверніть увагу, наскільки вони готові приймати ризики, враховуючи численні обмеження, пов’язані з розміром компанії та відповідним бюджетом і ресурсами.

 

  • Використовуйте не більше п’яти слайдів під час презентації для правління/керівництва. Говоріть про ризики для бізнесу в разі потенційного зламу. Вкажіть важливі/критичні бізнес-системи та розкажіть про вплив на бізнес-операції, враховуючи поточний і майбутній ландшафт загроз.

 

  • Поясніть, як фраза «ми захищені на 100%» не дозволяє ефективно визначити кіберризики, а також як кіберзрілість і управління ризиками є ключовими показниками ефективності програм з кібербезпеки та ризик-менеджменту організації. Керівник служби безпеки має це пояснити з самого початку.

 

  • Використовуйте сертифікати безпеки та відповідності. Зовнішня валідація та акредитація надзвичайно важливі для організацій, які забезпечують захист своїх даних і дотримання нормативних вимог. Наголошуйте, що це обов’язкові речі. Знову ж таки, спілкуйтеся з точки зору кіберзрілості та управління ризиками критичних бізнес-активів і потенційного впливу на бізнес.

 

 

  • Поясніть, чому організаціям потрібно інвестувати в інструменти/технології, які інтегрують показники кіберзрілості та управління ризиками безпеки у контекст загальних бізнес-ризиків підприємства. Правління та генеральний директор добре знаються на бізнес-ризиках і зрозуміють такий підхід.

 

НЕ МОЖНА КАЗАТИ:

 

  • Ніколи не кажіть: «Ми захищені на 100%».

 

  • Продемонструйте кілька ключових показників у презентації для правління та генерального директора. Не заплутуйте їх, демонструючи занадто багато показників.

 

  • Не використовуйте галузеві сертифікати безпеки та відповідності як доказ того, що організація має 100% безпеку, навіть якщо вони служать для підвищення самовпевненості команди. Вважайте сертифікати базисом програми.

 

  • Не використовуйте безліч інструментів/технологій і не порівнюйте кількість витрачених грошей з рівнем безпеки. Великі бюджети не обов’язково означають повну безпеку.

 

Команди безпеки також повинні думати про те, щоб відповідати на ті самі запитання від ділових партнерів і клієнтів. Маючи це на увазі, ось кілька важливих висновків, які слід враховувати:

 

  • Займайте проактивну позицію з генеральним директором і правлінням. Пояснюйте, як компанія хоче вимірювати ефективність управління кіберризиками. Робіть це з першої зустрічі та на кожній наступній.

 

  • Використовуйте цей проактивний підхід до клієнтів і ділових партнерів. Важливо доносити ті самі питання клієнтам, партнерам, потенційним клієнтам, а також внутрішнім командам.

 

  • Навчальні програми з підвищення рівня безпеки. Навчіть організацію визначати, що має сенс в управлінні кіберризиками, а що ні. Розбудовуйте культуру з обізнаності у кібербезпеці на всіх рівнях організації: від керівництва до рядових співробітників.

 

  • Використовуйте ті інструменти та технології, які є релевантними для певної галузі.

 

Керівники служби безпеки повинні демонструвати не лише «яскраві» слайди, а й те, наскільки ефективно можуть формулювати й спілкуватися з усіма зацікавленими сторонами щодо програми управління кіберризиками. І в будь-якому випадку спробуйте отримати необхідний бюджет і ресурси, щоб запустити ефективну програму, щоб максимально наблизитися до утопічної «100% безпеки».

 

Джерело: scmagazine.com

Related Posts

card__image

Що таке програми-вимагачі та як з ними боротися

Програми-вимагачі є однією з найнебезпечніших і найскладніших проблем безпеки, з якими стикаються організації. За прогнозами експертів з кібербезпеки програми-вимагачі атакуватимуть компанії, споживачів або пристрої кожні дві секунди та коштуватимуть жертвам $265 млрд. щорічно до 2031 року.   ЩО ТАКЕ ПРОГРАМА-ВИМАГАЧ?   Це варіант зловмисного програмного забезпечення, що позбавляє користувачів доступу до їхніх файлів або систем. […]

card__image

Уразливості нульового дня: кейси про наслідки від 17 членів Технологічної Ради Forbes

Уразливості нульового дня — це недоліки або слабкі місця в програмному забезпеченні чи операційній системі, про які розробник або постачальник не в курсі. Хакери першими виявляють ці вразливості, тож дають розробникам і постачальникам «нуль днів» на випуск патча. Уразливості нульового дня можуть стати не лише раптовим головним болем для розробників і постачальників, але й здійснювати […]

card__image

4 ключові помилки у взаємодії CISO з керівництвом

Презентація перед правлінням — це перспективна можливість. ІТ-директорам (CIO) та директорам з інформаційної безпеки (CISO) було б корисно знати свою аудиторію, передбачити питання, що не стосуються порядку денного та уникати тактики залякування.   Геть не рідкість, коли CIO, CISO, а іноді й їхніх підлеглих, запрошують на засідання ради директорів або представити ІТ-стратегії та плани. Якщо […]