Yönetim Kurulunu Kabul Etmeye Çalışan CISO’lar için Sekiz İpucu

Yazan Ori Arbel, CTO, CYREBRO

Hiç kimse yanlış anlaşılmaktan hoşlanmaz, en azından işletmelerde stratejik karar vermede kilit rol oynayan C düzeyindeki yöneticiler. Yine de CISO’lar, şirket yönetim kurullarıyla olan arayüzlerinde kendilerini sık sık hüsrana uğramış bulurlar. Anlaşılmadıklarını hissediyorlar ve siber güvenlik bütçelerini ve operasyonlarını çevreleyen kafa karışıklığı labirentinden çıkış yolları arıyorlar.

Temel olarak, siber güvenlik programlarıyla gemilerini devreye sokma konusunda sorun yaşıyorlar.

Zorluğun kökü, siber güvenliğin doğası gereği hem son derece stratejik hem de iş hedefleriyle yakından bağlantılı (yönetim kurulu üyelerinin çok iyi anladığı bir şey) ve son derece teknik olması ve tehdit ortamı ve şirket güvenlik duruşunun derinlemesine anlaşılmasına bağlı olmasıdır (bir şey) üyeler daha az rahattır).

Peki CISO’lar bu boşluğu nasıl kapatabilir? Yönetim kurulu üyelerinin siber güvenlik hakkında daha iyi anlamaları gereken şey nedir ve CISO’lar bu mesajları nasıl daha etkili bir şekilde iletebilir? Sizin gibi CISO’lardan en iyi yönetim kurulu iletişim ipuçlarından sekiz tanesini bir araya getirdik…

Şaşkın CISO için Sekiz İpucu

1. (İş) kelimelerinizi kullanın – CISO’lar teknolojiden gelir, teknoloji konuşur, nefes alır teknoloji ve canlı teknoloji. Ancak CISO rolünün doğası, hem iş hem de teknik dünyalarda bir ayak gerektirir. Bu dünyalar arasında evrensel tercüman olun. Riskleri ve itibar, gelir ve uyum üzerindeki potansiyel etkilerini yönetim kurulunuzun anlayabileceği bir çerçeve ve dilde açıklayın. Her teknik ölçümün bir iş hedefiyle uyumlu olduğunu biliyorsunuz – onların da bunu bildiğinden emin olun.
2. Güvenlikle ilgili bir şey değil, organizasyonla ilgili bir şey yapın – Siber güvenliğin bir BT veya ağ sorunu olmadığını açıkça belirtin. Bu bir organizasyon sorunu. Risk, hem teknik hem de insani eksikliklerden kaynaklanır. Bu, yönetim kurulu üyelerinin, siber güvenlik bilincine sahip bir kurumsal kültür yaratmanın, bir araç cephaneliği edinmek kadar (hatta daha fazla) önemli olduğunu anlamaları gerektiği anlamına gelir.
3. Güvenliğin sadece bir masraf olmadığını gösterin – Özellikle zorlu ekonomik zamanlarda, kurullara kesin rakamların sadece siber güvenliğin kayıpları nasıl önlediğiyle ilgili olmadığını göstermek önemlidir. Bir güvenlik olayının mali etkisi, siber güvenlik yatırımları için ROI’nin ölçülmesine kadar doğrudan izlenebilir.
4. Yığınınızı mantıklı hale getirin – Güvenlik yığınları yüksek temas ve pahalıdır. Güvenlik duruşu yönetimine veri odaklı, performans merkezli ve bütçe bilincine sahip bir yaklaşım benimseyerek C-suite’in mali açıdan sorumlu bir üyesi olarak konumunuzu gösterebildiğinizden emin olun – tabii ki kurumsal varlıkları savunma yeteneğinizden ödün vermeden .
5. Riski açıklayın ama FUD’a gitmeyin – Kuruluşunuzun kendine özgü risklerini açıklayın, ancak FUD (Korku, Belirsizlik, Şüphe) vaaz etme cazibesine karşı koyun – herkes kabus senaryolarını bilir. Bunun yerine, bir olay durumunda belirli risklerin belirli potansiyel etkilerini vurgulayın – itibar, iş kaybı, düzenleyici para cezaları ve kesinti süresi. Her ihlal veya fidye yazılımı saldırısının bir fiyat etiketi vardır – yönetim kuruluna bunlardan birkaçını derinlemesine açıklayın.
6. Bütçeyi riske bağlama – Bazen bütçe için kurula gitmeniz gerekir. Bu zaman geldiğinde, belirli riskleri azaltmaya veya en aza indirmeye nasıl yardımcı olacağını açıklayın. Bir olay durumunda bütçenin azaltması gereken riskin kuruluşu nasıl etkileyebileceğini, her bir riski azaltmak için bütçenin tam olarak nasıl kullanılacağını ve bütçenin finanse ettiği varlıkların yatırım getirisini nasıl ölçeceğinizi belirtin.
7. Onlara sorular sorun – Her durumda, insanlarla konuşmak onlarla konuşmaktan daha iyidir. Yönetim kurulunuzdan, şirketinizin en önemli varlıklarının neler olduğunu ve bunların korunmasına nasıl öncelik verilmesi gerektiğini belirlemede rol oynamasını isteyin. Ele geçirilmeleri durumunda her bir varlık için risk faktörünü birlikte tartışın. Birlikte tanımladığınız kurumsal riskler göz önüne alındığında siber güvenlik yatırımının yeterli olup olmadığını sorun.
8. tarla günü geçir – Yönetim kurulu üyeleri için yıllık veya hatta iki yılda bir masa üstü tatbikatlar düzenleyin. Bir ihlalin kurumsal etkisini hissetmelerine ve deneyimlemelerine izin verin. Onlara, büyük bir güvenlik olayı olduğunda/olursa rollerinin ne olması gerektiğini düşündüklerini sorun.

Alt çizgi

Yönetim kurulunu siber güvenlik programınıza dahil etmek, etkili bir kurumsal güvenlik lideri olmak için çok önemlidir. Bu küçük bir meydan okuma değil. Yine de, yönetim kurulu üyelerinizin kim olduğunu, nasıl düşündüklerini ve değeri nasıl algıladıklarını anlamak için zaman ayırmanın yanı sıra, dünyanızdan bir kesiti onların sindirebileceği bir şekilde paylaşmanın yanı sıra, yönetim kurulu uyumunu sağlamanın zorlu yolunu bulacaksınız. çok daha pürüzsüz.

yazar hakkında

Ori, CYREBRO’nun CTO’sudur ve güçlü bir teknik siber güvenlik geçmişinden, özellikle de küresel izleme ve soruşturma ekiplerini yıllarca çalıştırıp yönetmeden gelmektedir. Son teknoloji siber güvenlik platformları ve yenilikçi teknolojilerle derinlemesine çalışma bilgisi getiriyor. Ori’ye çevrimiçi olarak LinkedIn’den ve CYREBRO’nun http://www.cyrebro.io web sitesinden ulaşılabilir.