1

100% безпека — місія неможлива?

Рано чи пізно ІТ-директорам та CISO доводиться чітко та ясно відповісти на «чутливе» запитання Ради директорів: чи ми захищені на 100%?

 

Отже, як керівник, що піклується про безпеку, може відповісти на таке важливе запитання? Ось деякі рекомендації, що можна і чого не можна казати, відповідаючи на це важливе запитання:

 

МОЖНА КАЗАТИ:

 

  • Замість того, щоб казати «ми захищені на 100%», спілкуйтеся та пояснюйте директорам, що означає управління ризиками кібербезпеки. Зазначте, що ландшафт загроз постійно зростає, тож управління кіберризиками є подорожжю, а не пунктом призначення. Зверніть увагу, наскільки вони готові приймати ризики, враховуючи численні обмеження, пов’язані з розміром компанії та відповідним бюджетом і ресурсами.

 

  • Використовуйте не більше п’яти слайдів під час презентації для правління/керівництва. Говоріть про ризики для бізнесу в разі потенційного зламу. Вкажіть важливі/критичні бізнес-системи та розкажіть про вплив на бізнес-операції, враховуючи поточний і майбутній ландшафт загроз.

 

  • Поясніть, як фраза «ми захищені на 100%» не дозволяє ефективно визначити кіберризики, а також як кіберзрілість і управління ризиками є ключовими показниками ефективності програм з кібербезпеки та ризик-менеджменту організації. Керівник служби безпеки має це пояснити з самого початку.

 

  • Використовуйте сертифікати безпеки та відповідності. Зовнішня валідація та акредитація надзвичайно важливі для організацій, які забезпечують захист своїх даних і дотримання нормативних вимог. Наголошуйте, що це обов’язкові речі. Знову ж таки, спілкуйтеся з точки зору кіберзрілості та управління ризиками критичних бізнес-активів і потенційного впливу на бізнес.

 

 

  • Поясніть, чому організаціям потрібно інвестувати в інструменти/технології, які інтегрують показники кіберзрілості та управління ризиками безпеки у контекст загальних бізнес-ризиків підприємства. Правління та генеральний директор добре знаються на бізнес-ризиках і зрозуміють такий підхід.

 

НЕ МОЖНА КАЗАТИ:

 

  • Ніколи не кажіть: «Ми захищені на 100%».

 

  • Продемонструйте кілька ключових показників у презентації для правління та генерального директора. Не заплутуйте їх, демонструючи занадто багато показників.

 

  • Не використовуйте галузеві сертифікати безпеки та відповідності як доказ того, що організація має 100% безпеку, навіть якщо вони служать для підвищення самовпевненості команди. Вважайте сертифікати базисом програми.

 

  • Не використовуйте безліч інструментів/технологій і не порівнюйте кількість витрачених грошей з рівнем безпеки. Великі бюджети не обов’язково означають повну безпеку.

 

Команди безпеки також повинні думати про те, щоб відповідати на ті самі запитання від ділових партнерів і клієнтів. Маючи це на увазі, ось кілька важливих висновків, які слід враховувати:

 

  • Займайте проактивну позицію з генеральним директором і правлінням. Пояснюйте, як компанія хоче вимірювати ефективність управління кіберризиками. Робіть це з першої зустрічі та на кожній наступній.

 

  • Використовуйте цей проактивний підхід до клієнтів і ділових партнерів. Важливо доносити ті самі питання клієнтам, партнерам, потенційним клієнтам, а також внутрішнім командам.

 

  • Навчальні програми з підвищення рівня безпеки. Навчіть організацію визначати, що має сенс в управлінні кіберризиками, а що ні. Розбудовуйте культуру з обізнаності у кібербезпеці на всіх рівнях організації: від керівництва до рядових співробітників.

 

  • Використовуйте ті інструменти та технології, які є релевантними для певної галузі.

 

Керівники служби безпеки повинні демонструвати не лише «яскраві» слайди, а й те, наскільки ефективно можуть формулювати й спілкуватися з усіма зацікавленими сторонами щодо програми управління кіберризиками. І в будь-якому випадку спробуйте отримати необхідний бюджет і ресурси, щоб запустити ефективну програму, щоб максимально наблизитися до утопічної «100% безпеки».

 

Джерело: scmagazine.com

Related Posts

card__image

Кібератаки на критичну інфраструктуру: цифрове поле бою

Кібератаки стають все більшою загрозою для критичних секторів, таких як енергетика та охорона здоров’я. Нещодавні попередження від CISA, NSA та ФБР вказують на вразливості, які використовуються в активностях, пов’язаних з Китаєм.   У сучасному світі важко уникнути постійного обговорення кіберзагроз, особливо коли вони вражають критичну інфраструктуру, зокрема, енергетику, сферу охорони здоров’я та транспорт. Ці атаки […]

card__image

Кіберзагрози зростають, а спеціалістів стає дедалі менше

Ключовим питанням, яке порушує дослідження ринку праці в кібербезпеці ISC2 2024 є необхідність для організацій збільшити можливості для розвитку робочої сили в цій сфері, а також забезпечити більше можливостей для початківців увійти в професію та розвивати необхідні навички за підтримки досвідчених колег.   Згідно з новими даними, глобальне зростання спеціалістів в кібербезпеці вперше за шість […]

card__image

Зростання кількості DDoS-атак на 46% у першому півріччі 2024 року

Моніторинг тенденцій DDoS, що розвиваються, важливий для передбачення загроз і адаптації стратегій захисту. Комплексний звіт Gcore Radar за перше півріччя 2024 року надає детальну інформацію по DDoS-атаках, демонструючи зміни в моделях атак і ширшому ландшафті кіберзагроз. Нижче ми ділимося низкою результатів з повного звіту.   Ключові висновки   Кількість DDoS-атак у першому півріччі 2024 року […]