1

100% безпека — місія неможлива?

Рано чи пізно ІТ-директорам та CISO доводиться чітко та ясно відповісти на «чутливе» запитання Ради директорів: чи ми захищені на 100%?

 

Отже, як керівник, що піклується про безпеку, може відповісти на таке важливе запитання? Ось деякі рекомендації, що можна і чого не можна казати, відповідаючи на це важливе запитання:

 

МОЖНА КАЗАТИ:

 

  • Замість того, щоб казати «ми захищені на 100%», спілкуйтеся та пояснюйте директорам, що означає управління ризиками кібербезпеки. Зазначте, що ландшафт загроз постійно зростає, тож управління кіберризиками є подорожжю, а не пунктом призначення. Зверніть увагу, наскільки вони готові приймати ризики, враховуючи численні обмеження, пов’язані з розміром компанії та відповідним бюджетом і ресурсами.

 

  • Використовуйте не більше п’яти слайдів під час презентації для правління/керівництва. Говоріть про ризики для бізнесу в разі потенційного зламу. Вкажіть важливі/критичні бізнес-системи та розкажіть про вплив на бізнес-операції, враховуючи поточний і майбутній ландшафт загроз.

 

  • Поясніть, як фраза «ми захищені на 100%» не дозволяє ефективно визначити кіберризики, а також як кіберзрілість і управління ризиками є ключовими показниками ефективності програм з кібербезпеки та ризик-менеджменту організації. Керівник служби безпеки має це пояснити з самого початку.

 

  • Використовуйте сертифікати безпеки та відповідності. Зовнішня валідація та акредитація надзвичайно важливі для організацій, які забезпечують захист своїх даних і дотримання нормативних вимог. Наголошуйте, що це обов’язкові речі. Знову ж таки, спілкуйтеся з точки зору кіберзрілості та управління ризиками критичних бізнес-активів і потенційного впливу на бізнес.

 

 

  • Поясніть, чому організаціям потрібно інвестувати в інструменти/технології, які інтегрують показники кіберзрілості та управління ризиками безпеки у контекст загальних бізнес-ризиків підприємства. Правління та генеральний директор добре знаються на бізнес-ризиках і зрозуміють такий підхід.

 

НЕ МОЖНА КАЗАТИ:

 

  • Ніколи не кажіть: «Ми захищені на 100%».

 

  • Продемонструйте кілька ключових показників у презентації для правління та генерального директора. Не заплутуйте їх, демонструючи занадто багато показників.

 

  • Не використовуйте галузеві сертифікати безпеки та відповідності як доказ того, що організація має 100% безпеку, навіть якщо вони служать для підвищення самовпевненості команди. Вважайте сертифікати базисом програми.

 

  • Не використовуйте безліч інструментів/технологій і не порівнюйте кількість витрачених грошей з рівнем безпеки. Великі бюджети не обов’язково означають повну безпеку.

 

Команди безпеки також повинні думати про те, щоб відповідати на ті самі запитання від ділових партнерів і клієнтів. Маючи це на увазі, ось кілька важливих висновків, які слід враховувати:

 

  • Займайте проактивну позицію з генеральним директором і правлінням. Пояснюйте, як компанія хоче вимірювати ефективність управління кіберризиками. Робіть це з першої зустрічі та на кожній наступній.

 

  • Використовуйте цей проактивний підхід до клієнтів і ділових партнерів. Важливо доносити ті самі питання клієнтам, партнерам, потенційним клієнтам, а також внутрішнім командам.

 

  • Навчальні програми з підвищення рівня безпеки. Навчіть організацію визначати, що має сенс в управлінні кіберризиками, а що ні. Розбудовуйте культуру з обізнаності у кібербезпеці на всіх рівнях організації: від керівництва до рядових співробітників.

 

  • Використовуйте ті інструменти та технології, які є релевантними для певної галузі.

 

Керівники служби безпеки повинні демонструвати не лише «яскраві» слайди, а й те, наскільки ефективно можуть формулювати й спілкуватися з усіма зацікавленими сторонами щодо програми управління кіберризиками. І в будь-якому випадку спробуйте отримати необхідний бюджет і ресурси, щоб запустити ефективну програму, щоб максимально наблизитися до утопічної «100% безпеки».

 

Джерело: scmagazine.com

Related Posts

card__image

У 2023 році кількість фішингових атак зросла на 40%

У 2023 році було заблоковано понад 709 мільйонів фішингових атак, що на 40% більше, ніж у 2022 році, згідно щорічного аналізу Касперського. Месенджери, платформи зі Штучним Інтелектом, соцмережі та криптобіржі були одними з шляхів, які найчастіше використовували зловмисники для обману користувачів.   Щорічний аналіз загроз спаму та фішингу виявив стійку тенденцію у 2022 році: помітне […]

card__image

Атаки програм-вимагачів різко зростають через недостатній рівень комплаєнсу – Thales Group

Thales Group оприлюднила the 2024 Thales Data Threat Report, щорічний звіт про останні загрози безпеки даних і нові тенденції на основі опитування майже 3000 спеціалістів з ІТ та безпеки у 18 країнах у 37 галузях. Цьогорічний звіт показує, що 93% ІТ-фахівців вважають, що загрози зростають за обсягом або рівнем небезпеки, що значно більше порівняно з […]

card__image

Романтичні чат-боти з ШІ порушують вашу приватність

Експерти попередили користувачів романтичних чат-ботів для «відносин» на базі штучного інтелекту, що їхні дані та конфіденційність знаходяться під загрозою. Компанія Mozilla дослідила 11 різних додатків, зокрема, Replika, Chai, Romantic AI, EVA AI Chat Bot & Soulmate і CrushOn.AI. Кожен з них отримав позначку «Privacy Not Included», що робить ці чат-боти однією з найгірших категорій продуктів […]