Seria CISO: Discutarea securitatii cibernetice cu consiliul de administratie – Microsoft Security

In amenintarile de astazi, consiliile de administratie sunt mai interesate ca niciodata de strategia de securitate cibernetica a companiei lor. Daca doriti sa pastrati increderea unui consiliu, nu puteti astepta pana dupa un atac pentru a incepe sa vorbiti cu ei despre modul in care asigurati intreprinderea. Trebuie sa ii angajati in strategia dvs. devreme si des – cu nivelul corect de detalii tehnice, ambalate intr-un mod care sa ofere consiliului exact ceea ce trebuie sa stie, atunci cand trebuie sa o stie.

Atacurile cibernetice au crescut ca frecventa si dimensiune de-a lungul anilor, facand securitatea cibernetica la fel de fundamentala pentru sanatatea generala a afacerii ca si controalele financiare si operationale. Consiliile de administratie de astazi stiu acest lucru si solicita echipelor lor executive sa ofere mai multa transparenta cu privire la modul in care compania lor gestioneaza riscurile de securitate cibernetica. Daca sunteti un lider tehnologic responsabil pentru securitate, atingerea obiectivelor dvs. include adesea construirea alinierii cu consiliul.

Bret Arsenault, vicepresedinte corporativ si ofiter sef de securitate a informatiilor (CISO) pentru Microsoft, a fost un oaspete recent la seria noastra CISO Spotlight Series, unde a impartasit cateva dintre invataturile sale despre construirea unei relatii cu consiliul de administratie. Le-am distilat pana la urmatoarele trei bune practici:

• Folositi in mod eficient timpul consiliului.
• Mentineti consiliul educat cu privire la starea securitatii cibernetice.
• Vorbiti cu preocuparile principale ale consiliului.

Folositi timpul de bord in mod eficient

Membrii consiliului dvs. de administratie provin dintr-o varietate de medii diferite si sunt responsabili pentru toate aspectele legate de gestionarea riscurilor pentru afacere, nu doar de securitate. Unii membri ai consiliului pot urmari cele mai recente tendinte in materie de securitate, dar multi nu. Cand este timpul sa impartasiti actualizarea de securitate, trebuie sa eliminati toate celelalte distrageri si sa va trimiteti mesajul. Aceasta inseamna ca veti dori sa va ganditi aproape la fel de mult la modul in care doriti sa va impartasiti informatiile, precum la ceea ce veti impartasi, tinand cont de urmatoarele sfaturi:

• Fii concis.
• Evitati jargonul tehnic.
• Furnizati actualizari periodice.

Acest lucru nu inseamna ca ar trebui sa va amintiti raportul sau sa evitati informatiile tehnice importante. Inseamna ca trebuie sa va pregatiti in mod adecvat. Poate dura cateva saptamani pentru a analiza datele de securitate interna, a intelege tendintele cheie si a le distila pana la un raport de 10 pagini care poate fi prezentat in 30-60 de minute. Actualizarile trimestriale va vor ajuta sa aflati ce ar trebui sa fie inclus in acele 10 pagini si va va oferi posibilitatea de a va baza pe rapoartele anterioare, pe masura ce consiliul se familiarizeaza cu strategia dvs. Indiferent de ce, o planificare adecvata poate face o mare diferenta in modul in care este primit raportul dvs.

Mentineti consiliul educat cu privire la starea securitatii cibernetice

Povestile despre incalcarile de securitate primesc multa atentie, iar consiliul dvs. poate spera ca puteti preveni sa se intample vreodata un atac. Un aspect cheie al rolului dvs. este educarea acestora cu privire la motivele pentru care nicio companie nu va fi vreodata 100% sigura. Diferentierea reala este cat de eficient raspunde si se recupereaza o companie dupa un incident inevitabil.

De asemenea, va puteti ajuta consiliul sa inteleaga mai bine peisajul de securitate cu analiza celor mai recente incidente de securitate si actualizari privind reglementarile si legislatia privind securitatea cibernetica. Intelegerea acestor tendinte va va ajuta sa aliniati resursele pentru a proteja cel mai bine compania si a respecta legile regionale de securitate.

Vorbiti cu preocuparile principale ale consiliului

Pe masura ce va dezvoltati continutul, retineti ca cel mai bun mod de a atrage atentia forumului este prin alinierea mesajelor dvs. la preocuparile lor principale. Multe forumuri se concentreaza pe urmatoarele intrebari cheie:

• Cat de bine isi gestioneaza compania pozitia de risc?
• Care este structura de guvernanta?
• Cum se pregateste compania pentru viitor?

Pentru a aborda aceste intrebari, Bret se conformeaza urmatoarelor puncte de discutie:

• Datoria tehnica – O analiza continua a sistemelor si tehnologiilor vechi si a vulnerabilitatilor lor de securitate.
• Guvernanta – O contabilitate a modului in care practicile si instrumentele de securitate se compara cu modelul de securitate fata de care se compara compania.
• Raspundere acumulata – O strategie pentru a asigura companiei dovada viitoare, pentru a evita datoriile si deficitele suplimentare.

Cand vine vorba de lucrul eficient cu consiliul de administratie si alti directori din organizatia dvs., un CISO ar trebui sa se concentreze pe patru functii principale: gestionarea riscurilor, supravegherea arhitecturii tehnice, implementarea eficientei operationale si, cel mai important, activarea afacerii. In trecut, CISO-urile erau complet axate pe arhitectura tehnica. CISO-urile bune de astazi si cei care vor sa aiba succes in viitor, inteleg ca trebuie sa echilibreze toate cele patru responsabilitati.

Afla mai multe

Asigurati-va ca verificati interviul cu Bret din partea 1 a Seriei Spotlight CISO, Securitatea este treaba tuturor, pentru a asculta in mod direct recomandarile sale pentru a vorbi cu consiliul de administratie. Si in partea a 2-a, Bret trece prin modul de a vorbi despre atacuri de securitate si gestionarea riscurilor cu consiliul de administratie.

Cadrul de securitate cibernetica al Institutului National de Standarde si Tehnologie (NIST) este o referinta excelenta daca cautati un model de referinta.

Pentru a citi mai multe bloguri din serie, vizitati pagina seriei CISO.