Dünya çapında yönetim kurulu üyeleri dikkatlerini siber riskli manzaraya yönlendiriyor ve kuruluşlarının değerini ne ölçüde etkileyebileceğini sorguluyor. Siber olayların artan maliyeti göz önüne alındığında, artan endişeleri, hem uzun hem de kısa vadede iyi işgal edilmiş. Hükümet baskısında nispeten yeni artış, bu yöneticilerin zamanlarının daha fazla siber riskini denetlemeye yatırım yapmasını talep etti.
Bu pazarın yeniden yönlendirilmesi ilerledikçe, kurullar siber güvenlik liderleriyle daha sık etkileşime girmeye başladı ve uzmanların siber tehditlerin stratejik düzeyde değerlendirilmesi ve yanıtlanması için gerekli verileri sağlayabileceğini umuyor. Ne yazık ki, bilgi kurulu üyeleri genellikle yetersiz kalır ve iş önceliklerinden çok teknik olarak reddedilir.
Bu yanlış hizalama, giderek artan sayıda baş bilgi güvenliği görevlisini (CISOS) Kurul ile nasıl iletişim kurduklarını yeniden düşünmeye zorladı, etkinliklerinin çalışmalarının teknik derinliklerinde değil, kuruluşun siber maruziyetinin daha geniş etkilerini ve risk aklama planlarını ne kadar iyi aktarabileceklerini anladı.
Geleneksel Siber Metrikler İşareti Kaçırın
Zscaler’da ikamet eden Ciso olan Benjamin Corll, geleneksel metriklerin siber riskleri Kurulun tam olarak kavrayabileceği şekilde nasıl iletemeyeceğini ilk elden deneyimledi. Corll, “Kimlik avı tıklama oranlarını veya farkındalık eğitim yüzdelerini görmek istemiyorlar… ve 33 milyon güvenlik duvarı bloğunu umursamıyorlar” diyor. “[Boards] Sadece iş etkisi olan şeyleri bilmek istiyorum. ”
Vistrada’daki Ciso Royce Markos, yönetim kurulu ile görüştükten sonra Corll’s ile tutarlı bir sonuca ulaştı. “Daha önce, son derece teknik metrikler sundum… ama doğrudan iş etkisine bağlanmadıkları için yönetim kurulu ile rezonansa girmediler.” Daha sonra, taktikleri değiştirdi ve güvenlik çabalarını somut sonuçlarla ilişkilendirmeye başladı, örneğin güvenlik açıklarının yamalamanın maliyetli bir ihlal olasılığını nasıl azalttığını gösterdi.
İş odaklı bir anlatı yaratmak
Teknik faaliyetleri ve başarıları detaylandırmaktan somut iş alaka düzeyini iletmeye kadar bu kritik değişim, şu anda kaç siber güvenlik liderinin yönetim kuruluna yaklaştığı konusunda giderek daha merkezi hale geldi.
Jessica Nemmers, örneğin Flair Data Systems’taki Field CISO, siber risk kaydında yakalanan öğeleri ve iyileştirmelerinin durumunu ifade eder. “Riski azaltma veya zaman içinde artış izlemek önemlidir” diye açıklıyor, “çünkü kurulun siber risk duruşunun nasıl geliştiğine dair dinamik bir bakış sağlıyor.”
Douglas Brush, geçici CISO ve mahkeme tarafından atanan Nötr, benzer şekilde bu stratejik yeniden çerçevelemenin finansal açıdan konuşmayı kapsadığını buldu. “Yönetim kurulu üyeleri kafası karıştığında veya bazı teknik yönlerle boğulduklarında, o zaman ‘Tamam, risk hakkında konuşmayı bırakalım ve para hakkında konuşmaya başlayalım.’ Sonuç, siber soyutta değil, gerçek dünyadaki sonuçlara dayanan bir konuşmadır.
BTE Partners’taki CISO olan Sue Bergamo, operasyonel gürültüyü filtrelemenin öneminin altını çiziyor. “Buradaki en iyi tavsiye, çok fazla ayrıntıya girmemek ve üst düzey metriklere bağlı kalmak… gelir veya marka itibarı üzerindeki etkilere odaklanmıştır.” Nihayetinde, güvenlik raporlaması, siber güvenlik GRC yığınının arka ucunu değil, iş birimlerinin dilini yansıtmalıdır.
Kurulun beklentilerini karşılamak
İletişim tarzlarını değiştirdikten sonra, siber güvenlik liderleri için bir sonraki hamle, en önemli soruları kurul için tahmin etmektir. Lumen Technologies’de Asya Pasifik için Ciso Wai Kit Cheah’a göre, öncelikleri oldukça tutarlı. “Yönetim kurulu üyeleri genellikle onların [organization’s] Genel risk profili…[asking things such as] ‘En büyük siber güvenlik risklerimiz nelerdir ve onlara nasıl hitap ediyoruz?’ ‘
Markos, yöneticilerin bir şeyler ters giderse kuruluşun nasıl yanıt vereceğini bilmek istediğini ekliyor. “Büyük bir siber olayın iş üzerindeki kapsamını ve potansiyel etkisini anlamak istiyorlar” diye açıklıyor, “kuruluşun esnekliği ve beklenen iyileşme süresi.”
Bergamo, bu sefer daha da açık bir şekilde koyuyor: “[In the boardroom]CISO metrikleri geliri, hileli faaliyetleri veya marka itibarını etkileyen herhangi bir şeye odaklanmalıdır – hepsi bu. ” Onun görüşüne göre, yönetim kurulu siber riskin gerçekleşmiş iş önemini anlamaya odaklanacak ve daha fazla detay istiyorlarsa, onları önceden isteyecekler.
Boşluğu köprülemek için siber risk niceliğinden yararlanmak
Siber maruziyeti anlamak için yönetim kurulu düzeyinde beklentiler, daha net, iş odaklı bilgi için artan bir talep ile değişmektedir. İsteğe bağlı siber risk niceliği (CRQ), CISOS’un bu tür bilgileri vermesine yardımcı olur ve bir kuruluşun siber saldırılar yaşama olasılığının ve söz konusu olayların ilgili etkisini sunar.
Antika siber risk değerlendirmelerinden farklı olarak, isteğe bağlı CRQ, işletmenin siber duruşunu değerlendirmek ve sonraki sonuçları finansal terimlere dönüştürmek için otomatik olarak dış ve iç zekayı içerir. Örneğin, siber programın% 75 olgunluğa ulaştığını öğrenmek yerine, yönetim kurulu üyeleri, 54 milyon dolarlık hasara yol açabilecek bir fidye yazılımı etkinliği yaşama şansı% 27 ile karşılaştıklarını bileceklerdir. Bu özgüllük seviyesi, özeti somut hale getirerek yatırım ve önceliklendirme kararları konusundaki güvenin artmasına izin verir.
CRQ ayrıca, raporlama döngüleri arasında tutarlılığı desteklemekte, siber riskin zaman içinde nasıl dalgalandığını ve hafifletme stratejilerinin çalışıp çalışmadığını anlamaya yardımcı olmaktadır. Siber güvenlik açığı tanıdık, daha geniş bir iş diline dönüştüğünde, yönetmenler bunu diğer temel iş riskleriyle birlikte daha kolay yönetebilir.
Siber risk anlayışlarını eyleme geçirilebilir hale getirmek
Her şeyden önce, kurulun aldığı siber güvenlik verileri, yönetişim tartışmalarını engellemeli, engellemelidir. Bu üst düzey paydaşların ne kadar etkileyici olabileceğine bakılmaksızın her metriğe ihtiyaç duymazlar. Aksine, siber tehditlerin gelir ve operasyonları nasıl etkileyebileceğini bilmeleri gerekir. CISO’lar kuruluşun maruziyetini bu daha stratejik terimlere çevirdiğinde, kurulun daha akıllı kararlar almasını sağlayarak bir dayanıklılık durumuna doğru yol açarlar.
__
Yakir Golan, Kovrr’ın CEO’su ve kurucu ortağıdır. Kariyerine İsrail istihbarat güçlerinde başladı. Askerlik hizmetinin ardından yazılım ve donanım tasarımı, geliştirme ve ürün yönetiminde çok disiplinli deneyim kazandı. Son birkaç yıldır, gelişmiş makine öğrenimi ve yapay zekaya dayalı siber risk yönetimi çözümleri getirmeye odaklandı. Yakir, Technion’dan Elektrik Mühendisliği, İsrail Teknoloji Enstitüsü ve IE Business School, Madrid, İspanya’dan bir BSC’ye sahiptir.
Reklam
LinkedIn Group Bilgi Güvenlik Topluluğumuza katılın!