1

4 ключові помилки у взаємодії CISO з керівництвом

Презентація перед правлінням — це перспективна можливість. ІТ-директорам (CIO) та директорам з інформаційної безпеки (CISO) було б корисно знати свою аудиторію, передбачити питання, що не стосуються порядку денного та уникати тактики залякування.

 

Геть не рідкість, коли CIO, CISO, а іноді й їхніх підлеглих, запрошують на засідання ради директорів або представити ІТ-стратегії та плани. Якщо ви нечасто берете участь у засіданнях правління, підготовка має першочергове значення: вивчення досвіду директорів, перегляду протоколів попередніх засідань. Тож якщо ви виступаєте, краще порадитися з колегами про те, як директори дискутують, обговорюють й ухвалюють ключові рішення.

 

Існує багато корисних порад, як підготуватись до презентації для членів правління. Однак помилки трапляються. Тож розглянемо 4 поширені помилки, яких припускаються ІТ-експерти під час засідань ради директорів.

 

Вони припускають, що раді бракує технічних знань

 

У 2019 році Массачусетський технологічний інститут повідомив, що лише 24% рад директорів компаній у США з доходом понад 1 мільярд доларів зналися на цифрових технологіях. У нещодавньому дослідженні вказано, що лише 51% компаній зі списку Fortune 100 і 9% організацій зі списку Fortune 200–500 мають директора з відповідним досвідом у сфері кібербезпеки.

 

Хоча ці цифри свідчать про значні технічні прогалини та прогалини в безпеці серед членів правління великих компаній, було б помилкою з боку CIO або CISO вважати, що правлінню бракує цифрових технологій, даних, безпеки чи інших технічних знань.

 

«Структура правління змінилася протягом останніх кількох років, до багатьох із них увійшли спеціалісти з технологій, у тому числі в багатьох випадках колишні ІТ-директори», — каже Манодж Тіварі, ІТ-директор Subaru Canada. «Тож оберіть серед членів правління свого прихильника. Налагодіть з ним взаємодію за межами правління, щоб забезпечити узгодження та прийняття вашої технологічної стратегії».

 

Говорять складною технічною мовою та надають заплутані відповіді

 

«ІТ-директорам не можна надавати навмисно або ненавмисно заплутані відповіді на запитання про ключові чи поточні ІТ-проблеми», — каже Джо Пуглісі, колишній ІТ-директор, а зараз інвестор, радник і член правління. «Ніщо так не спантеличить правління, як складний набір технічних термінів.

 

Важливо уникати технічного жаргону, але іноді вас просять визначити технічний термін або пояснити технологію. Один із підходів — це відповідати на технічні запитання аналогіями з вашої галузі. Наприклад: ми обидва працювали в будівельній галузі, тож, ми могли б допомогти іншим керівникам зрозуміти Scrum у розробці програмного забезпечення, порівнюючи його з проектуванням/будівництвом за гнучкою методологією.

 

Вони вдаються до тактики залякування або кіберризиків

 

Ми всі знаємо вислів «Ніколи не пропускайте кризу» як інструмент привернути увагу до великих інвестицій, які ніхто не хоче робити.

 

Іноді вам потрібна іскра, щоб створити відчуття нагальності, але не заходьте з цим підходом занадто далеко. Один CISO якось сказав: «Якщо ви не можете переконати правління, тоді налякайте їх», що може призвести до того, що CISO схвалить інвестицію, але з часом втратить довіру.

 

Якщо презентація не є вашою сильною стороною або у вас є лише кілька хвилин для неї, адже розповідь може заплутати директорів, каже Тоні П’єтрокола, президент і співзасновник AgileBlue: «Проблема з правлінням, яке справді розуміє, чи захищено підприємство від кіберзагроз, полягає в тому, що вони, як правило, не технарі, тому CIO або CISO можуть відповісти на запитання заплутаною розповіддю».

 

Джей Ферро, виконавчий віце-президент і директор з інформації, технологій і продуктів у Clario, а також член правління Allata, ділиться прикладами того, як не треба відповідати на запитання правління про кіберризики. «Не кажіть: «Ми докладаємо всіх зусиль і сподіваємося, що будемо захищені», — каже він. «Ніхто не може гарантувати повну безпеку, чи не так? Отже, важко сказати, чи ми захищені від усіх загроз. Також не перебільшуйте свою готовність, кажучи: «Наша система безпеки надійна, а вжиті нами контрзаходи повністю захищають нашу організацію від будь-яких загроз».

 

Отже, що повинні зробити CISO, щоб переконатися, що правління розуміє кіберризики, не розповідаючи історій і не використовуючи тактику залякування?

 

П’єтрокола рекомендує використовувати основні показники, щоб допомогти директорам зрозуміти ризики. Ферро, в свою чергу, рекомендує обговорити вплив зон високого ризику на бізнес і переглянути плани мінімізації ризиків.

 

Вони відповідають нечітко або їм бракує прогнозування

 

ІТ-директори та CISO повинні розуміти, яку інформацію важливо поширювати на рівні правління. Презентація з великою кількістю слайдів є проблемою, оскільки директори втратять інтерес. Однак під час підведення підсумків із занадто малою кількістю слайдів можна пропустити ключові питання для вирішення певної проблеми, можливості зростання, ринкові тенденції та інші деталі, які пов’язують потреби бізнесу та клієнтів із технологічною стратегією.

 

«Останнє, що ми повинні зробити, — це представити окремо розроблену технологічну стратегію на засіданні правління, яка не відповідає бізнес-цілям або не відповідає очікуванням директорів», — каже Тіварі.

 

Ось інші приклади коли директори ставлять питання щодо ініціатив з цифрової трансформації, і те, як жахливо звучить відповідь.

 

  • Директор запитує про графік ініціативи, яка щойно розпочалася, а ІТ-директор відповідає: «Ну, ми тільки почали, тому нема чим ділитися. Ми все ще намагаємося це все налагодити, тому поки що не маємо якогось значного прогресу чи перших результатів». ІТ-директори завжди повинні спочатку відповісти на запитання, а потім надавати додаткову інформацію.

 

Гарна відповідь така: «У нас ще немає графіка, але ми проводимо дослідження клієнтів і перевіряємо концепцію технології. Через 30 днів ми отримаємо висновки, а незабаром після цього буде проект графіка».

 

  • Інший директор запитує, що ІТ робить з генеративним ШІ, а ІТ-директор відповідає: «ШІ та всі ці модні слова звучать захоплююче, але, чесно кажучи, я не впевнений, що це робить погоду. Це все ще досить нове, тому ми наразі спостерігаємо». Проблема з цією відповіддю полягає в тому, що правління очікує від ІТ-директорів більш суттєвих рекомендацій щодо нових технологій, бізнес-можливостей і ризиків, навіть якщо виконавчий комітет не надає пріоритету роботі з технологіями.

 

Головне для CIO і CISO — бути надзвичайно поінформованими про активні ініціативи, бізнес-можливості та нові технології, що впливають на їхній бізнес і галузь. Навіть якщо якась тема не стоїть на порядку денному, цілком нормально для директора про це запитати.

 

Джерело: cio.com

Related Posts

card__image

Що таке програми-вимагачі та як з ними боротися

Програми-вимагачі є однією з найнебезпечніших і найскладніших проблем безпеки, з якими стикаються організації. За прогнозами експертів з кібербезпеки програми-вимагачі атакуватимуть компанії, споживачів або пристрої кожні дві секунди та коштуватимуть жертвам $265 млрд. щорічно до 2031 року.   ЩО ТАКЕ ПРОГРАМА-ВИМАГАЧ?   Це варіант зловмисного програмного забезпечення, що позбавляє користувачів доступу до їхніх файлів або систем. […]

card__image

Уразливості нульового дня: кейси про наслідки від 17 членів Технологічної Ради Forbes

Уразливості нульового дня — це недоліки або слабкі місця в програмному забезпеченні чи операційній системі, про які розробник або постачальник не в курсі. Хакери першими виявляють ці вразливості, тож дають розробникам і постачальникам «нуль днів» на випуск патча. Уразливості нульового дня можуть стати не лише раптовим головним болем для розробників і постачальників, але й здійснювати […]

card__image

100% безпека — місія неможлива?

Рано чи пізно ІТ-директорам та CISO доводиться чітко та ясно відповісти на «чутливе» запитання Ради директорів: чи ми захищені на 100%?   Отже, як керівник, що піклується про безпеку, може відповісти на таке важливе запитання? Ось деякі рекомендації, що можна і чого не можна казати, відповідаючи на це важливе запитання:   МОЖНА КАЗАТИ:   Замість […]