1

4 ключові помилки у взаємодії CISO з керівництвом

Презентація перед правлінням — це перспективна можливість. ІТ-директорам (CIO) та директорам з інформаційної безпеки (CISO) було б корисно знати свою аудиторію, передбачити питання, що не стосуються порядку денного та уникати тактики залякування.

 

Геть не рідкість, коли CIO, CISO, а іноді й їхніх підлеглих, запрошують на засідання ради директорів або представити ІТ-стратегії та плани. Якщо ви нечасто берете участь у засіданнях правління, підготовка має першочергове значення: вивчення досвіду директорів, перегляду протоколів попередніх засідань. Тож якщо ви виступаєте, краще порадитися з колегами про те, як директори дискутують, обговорюють й ухвалюють ключові рішення.

 

Існує багато корисних порад, як підготуватись до презентації для членів правління. Однак помилки трапляються. Тож розглянемо 4 поширені помилки, яких припускаються ІТ-експерти під час засідань ради директорів.

 

Вони припускають, що раді бракує технічних знань

 

У 2019 році Массачусетський технологічний інститут повідомив, що лише 24% рад директорів компаній у США з доходом понад 1 мільярд доларів зналися на цифрових технологіях. У нещодавньому дослідженні вказано, що лише 51% компаній зі списку Fortune 100 і 9% організацій зі списку Fortune 200–500 мають директора з відповідним досвідом у сфері кібербезпеки.

 

Хоча ці цифри свідчать про значні технічні прогалини та прогалини в безпеці серед членів правління великих компаній, було б помилкою з боку CIO або CISO вважати, що правлінню бракує цифрових технологій, даних, безпеки чи інших технічних знань.

 

«Структура правління змінилася протягом останніх кількох років, до багатьох із них увійшли спеціалісти з технологій, у тому числі в багатьох випадках колишні ІТ-директори», — каже Манодж Тіварі, ІТ-директор Subaru Canada. «Тож оберіть серед членів правління свого прихильника. Налагодіть з ним взаємодію за межами правління, щоб забезпечити узгодження та прийняття вашої технологічної стратегії».

 

Говорять складною технічною мовою та надають заплутані відповіді

 

«ІТ-директорам не можна надавати навмисно або ненавмисно заплутані відповіді на запитання про ключові чи поточні ІТ-проблеми», — каже Джо Пуглісі, колишній ІТ-директор, а зараз інвестор, радник і член правління. «Ніщо так не спантеличить правління, як складний набір технічних термінів.

 

Важливо уникати технічного жаргону, але іноді вас просять визначити технічний термін або пояснити технологію. Один із підходів — це відповідати на технічні запитання аналогіями з вашої галузі. Наприклад: ми обидва працювали в будівельній галузі, тож, ми могли б допомогти іншим керівникам зрозуміти Scrum у розробці програмного забезпечення, порівнюючи його з проектуванням/будівництвом за гнучкою методологією.

 

Вони вдаються до тактики залякування або кіберризиків

 

Ми всі знаємо вислів «Ніколи не пропускайте кризу» як інструмент привернути увагу до великих інвестицій, які ніхто не хоче робити.

 

Іноді вам потрібна іскра, щоб створити відчуття нагальності, але не заходьте з цим підходом занадто далеко. Один CISO якось сказав: «Якщо ви не можете переконати правління, тоді налякайте їх», що може призвести до того, що CISO схвалить інвестицію, але з часом втратить довіру.

 

Якщо презентація не є вашою сильною стороною або у вас є лише кілька хвилин для неї, адже розповідь може заплутати директорів, каже Тоні П’єтрокола, президент і співзасновник AgileBlue: «Проблема з правлінням, яке справді розуміє, чи захищено підприємство від кіберзагроз, полягає в тому, що вони, як правило, не технарі, тому CIO або CISO можуть відповісти на запитання заплутаною розповіддю».

 

Джей Ферро, виконавчий віце-президент і директор з інформації, технологій і продуктів у Clario, а також член правління Allata, ділиться прикладами того, як не треба відповідати на запитання правління про кіберризики. «Не кажіть: «Ми докладаємо всіх зусиль і сподіваємося, що будемо захищені», — каже він. «Ніхто не може гарантувати повну безпеку, чи не так? Отже, важко сказати, чи ми захищені від усіх загроз. Також не перебільшуйте свою готовність, кажучи: «Наша система безпеки надійна, а вжиті нами контрзаходи повністю захищають нашу організацію від будь-яких загроз».

 

Отже, що повинні зробити CISO, щоб переконатися, що правління розуміє кіберризики, не розповідаючи історій і не використовуючи тактику залякування?

 

П’єтрокола рекомендує використовувати основні показники, щоб допомогти директорам зрозуміти ризики. Ферро, в свою чергу, рекомендує обговорити вплив зон високого ризику на бізнес і переглянути плани мінімізації ризиків.

 

Вони відповідають нечітко або їм бракує прогнозування

 

ІТ-директори та CISO повинні розуміти, яку інформацію важливо поширювати на рівні правління. Презентація з великою кількістю слайдів є проблемою, оскільки директори втратять інтерес. Однак під час підведення підсумків із занадто малою кількістю слайдів можна пропустити ключові питання для вирішення певної проблеми, можливості зростання, ринкові тенденції та інші деталі, які пов’язують потреби бізнесу та клієнтів із технологічною стратегією.

 

«Останнє, що ми повинні зробити, — це представити окремо розроблену технологічну стратегію на засіданні правління, яка не відповідає бізнес-цілям або не відповідає очікуванням директорів», — каже Тіварі.

 

Ось інші приклади коли директори ставлять питання щодо ініціатив з цифрової трансформації, і те, як жахливо звучить відповідь.

 

  • Директор запитує про графік ініціативи, яка щойно розпочалася, а ІТ-директор відповідає: «Ну, ми тільки почали, тому нема чим ділитися. Ми все ще намагаємося це все налагодити, тому поки що не маємо якогось значного прогресу чи перших результатів». ІТ-директори завжди повинні спочатку відповісти на запитання, а потім надавати додаткову інформацію.

 

Гарна відповідь така: «У нас ще немає графіка, але ми проводимо дослідження клієнтів і перевіряємо концепцію технології. Через 30 днів ми отримаємо висновки, а незабаром після цього буде проект графіка».

 

  • Інший директор запитує, що ІТ робить з генеративним ШІ, а ІТ-директор відповідає: «ШІ та всі ці модні слова звучать захоплююче, але, чесно кажучи, я не впевнений, що це робить погоду. Це все ще досить нове, тому ми наразі спостерігаємо». Проблема з цією відповіддю полягає в тому, що правління очікує від ІТ-директорів більш суттєвих рекомендацій щодо нових технологій, бізнес-можливостей і ризиків, навіть якщо виконавчий комітет не надає пріоритету роботі з технологіями.

 

Головне для CIO і CISO — бути надзвичайно поінформованими про активні ініціативи, бізнес-можливості та нові технології, що впливають на їхній бізнес і галузь. Навіть якщо якась тема не стоїть на порядку денному, цілком нормально для директора про це запитати.

 

Джерело: cio.com

Related Posts

card__image

Половину фахівців з кібербезпеки очікує вигоряння протягом наступних 12 місяців

MultiTeam Solutions, провідна компанія з розвитку командної роботи в кібербезпеці з акцентом на потреби людей, поділилася тривожною статистикою: половина фахівців з кібербезпеки очікують, що протягом наступного року вони відчуватимуть виснаження. Ця інформація викладена в новому звіті “Stress & Burnout in Cybersecurity: The Risk of a Thousand Papercuts» на основі опитування 173 міжнародних фахівців з кібербезпеки. […]

card__image

Атаки на ланцюги постачання є головною кіберзагрозою до 2030 року – ENISA

Агентство Європейського Союзу з питань мережевої та інформаційної безпеки (European Union Agency for Network and Information Security, ENISA ) прогнозує, що ланцюги постачань ПЗ посідають перше місце серед 10 головних кіберзагроз до 2030 року. Тобто атаки на ланцюги постачань програмного забезпечення є найбільшою загрозою, з якою можуть зіткнутися організації ЄС до 2030 року, згідно з […]

card__image

Пріоритизація кібербезпеки збільшує прибутки

Нове дослідження від Diligent і Bitsight показало, що пріоритизація кібербезпеки в компаніях та створення потужних команд з аудиту або управління ризиками напряму впливає на покращення фінансових показників підприємства.   Підвищення рівня кібербезпеки та фінансовий успіх тісно пов’язані в тих компаніях, які впроваджують надійні заходи безпеки. Саме такі компанії забезпечують на цілих 372% більше прибутку акціонерам […]