Рано чи пізно ІТ-директорам та CISO доводиться чітко та ясно відповісти на «чутливе» запитання Ради директорів: чи ми захищені на 100%?
Отже, як керівник, що піклується про безпеку, може відповісти на таке важливе запитання? Ось деякі рекомендації, що можна і чого не можна казати, відповідаючи на це важливе запитання:
МОЖНА КАЗАТИ:
- Замість того, щоб казати «ми захищені на 100%», спілкуйтеся та пояснюйте директорам, що означає управління ризиками кібербезпеки. Зазначте, що ландшафт загроз постійно зростає, тож управління кіберризиками є подорожжю, а не пунктом призначення. Зверніть увагу, наскільки вони готові приймати ризики, враховуючи численні обмеження, пов’язані з розміром компанії та відповідним бюджетом і ресурсами.
- Використовуйте не більше п’яти слайдів під час презентації для правління/керівництва. Говоріть про ризики для бізнесу в разі потенційного зламу. Вкажіть важливі/критичні бізнес-системи та розкажіть про вплив на бізнес-операції, враховуючи поточний і майбутній ландшафт загроз.
- Поясніть, як фраза «ми захищені на 100%» не дозволяє ефективно визначити кіберризики, а також як кіберзрілість і управління ризиками є ключовими показниками ефективності програм з кібербезпеки та ризик-менеджменту організації. Керівник служби безпеки має це пояснити з самого початку.
- Використовуйте сертифікати безпеки та відповідності. Зовнішня валідація та акредитація надзвичайно важливі для організацій, які забезпечують захист своїх даних і дотримання нормативних вимог. Наголошуйте, що це обов’язкові речі. Знову ж таки, спілкуйтеся з точки зору кіберзрілості та управління ризиками критичних бізнес-активів і потенційного впливу на бізнес.
- Поясніть, чому організаціям потрібно інвестувати в інструменти/технології, які інтегрують показники кіберзрілості та управління ризиками безпеки у контекст загальних бізнес-ризиків підприємства. Правління та генеральний директор добре знаються на бізнес-ризиках і зрозуміють такий підхід.
НЕ МОЖНА КАЗАТИ:
- Ніколи не кажіть: «Ми захищені на 100%».
- Продемонструйте кілька ключових показників у презентації для правління та генерального директора. Не заплутуйте їх, демонструючи занадто багато показників.
- Не використовуйте галузеві сертифікати безпеки та відповідності як доказ того, що організація має 100% безпеку, навіть якщо вони служать для підвищення самовпевненості команди. Вважайте сертифікати базисом програми.
- Не використовуйте безліч інструментів/технологій і не порівнюйте кількість витрачених грошей з рівнем безпеки. Великі бюджети не обов’язково означають повну безпеку.
Команди безпеки також повинні думати про те, щоб відповідати на ті самі запитання від ділових партнерів і клієнтів. Маючи це на увазі, ось кілька важливих висновків, які слід враховувати:
- Займайте проактивну позицію з генеральним директором і правлінням. Пояснюйте, як компанія хоче вимірювати ефективність управління кіберризиками. Робіть це з першої зустрічі та на кожній наступній.
- Використовуйте цей проактивний підхід до клієнтів і ділових партнерів. Важливо доносити ті самі питання клієнтам, партнерам, потенційним клієнтам, а також внутрішнім командам.
- Навчальні програми з підвищення рівня безпеки. Навчіть організацію визначати, що має сенс в управлінні кіберризиками, а що ні. Розбудовуйте культуру з обізнаності у кібербезпеці на всіх рівнях організації: від керівництва до рядових співробітників.
- Використовуйте ті інструменти та технології, які є релевантними для певної галузі.
Керівники служби безпеки повинні демонструвати не лише «яскраві» слайди, а й те, наскільки ефективно можуть формулювати й спілкуватися з усіма зацікавленими сторонами щодо програми управління кіберризиками. І в будь-якому випадку спробуйте отримати необхідний бюджет і ресурси, щоб запустити ефективну програму, щоб максимально наблизитися до утопічної «100% безпеки».
Джерело: scmagazine.com