เหตุใดบอร์ดขององค์กรจึงไม่เตรียมพร้อมเพื่อรับมือกับความเสี่ยงด้านความปลอดภัยทางไซเบอร์

เหตุใดบอร์ดขององค์กรจึงไม่พร้อมที่จะรับมือกับความเสี่ยงด้านความปลอดภัยในโลกไซเบอร์รายงานฉบับใหม่แนะนำว่าบอร์ดขององค์กรตอบคำถามสำคัญสี่ข้อเป็นประจำเพื่อเป็นแนวทางในการกำกับดูแลความปลอดภัยทางไซเบอร์

ไม่มีแดชบอร์ดหรือชุดเมตริกสำหรับจัดการความปลอดภัยทางไซเบอร์ พื้นผิวการโจมตีนั้นกว้างมากและภัยคุกคามที่อาจเกิดขึ้นกำลังเคลื่อนที่อย่างรวดเร็วซึ่งกฎเกณฑ์ดั้งเดิมนั้นไม่มีผล สมาชิกคณะกรรมการ บริษัท และ CISO ไม่เพียง แต่ต้องวิ่งตามเป้าหมายที่เคลื่อนไหวเท่านั้น แต่ยังต้องการวิธีการใหม่ในการทำความเข้าใจปัญหา

Booz Allen Hamilton และศูนย์การรักษาความปลอดภัยทางไซเบอร์ในระยะยาว (CLTC) ที่ University of California, Berkeley อาจมีคำตอบในรายงานฉบับใหม่ Bill Phelps รองประธานบริหารฝ่ายธุรกิจเชิงพาณิชย์ Booz Allen Hamilton และ Ann Cleaveland ผู้อำนวยการบริหารของ CLTC และ Steve Weber ผู้อำนวยการคณะ CTLC เขียนรายงาน

ในช่วงฤดูร้อนปี 2562 ทีมงานได้สัมภาษณ์สมาชิกคณะกรรมการ บริษัท 20 คนจากบริการด้านการสื่อสารสินค้าอุปโภคบริโภคอุตสาหกรรมการเงินการดูแลสุขภาพระบบสาธารณูปโภคเทคโนโลยีสารสนเทศและอสังหาริมทรัพย์ เป้าหมายคือเพื่อประเมินความเชื่อการปฏิบัติและแรงบันดาลใจในการกำกับดูแลความปลอดภัยในโลกไซเบอร์

วิธีรับผู้ใช้บนเครื่องพร้อมมาตรการรักษาความปลอดภัยที่จำเป็น (PDF ฟรี)

สมาชิกในคณะกรรมการกล่าวว่าการรักษาความปลอดภัยทางไซเบอร์นั้นเป็นความเสี่ยงที่มีอยู่สำหรับธุรกิจและพวกเขาต้องการที่จะเข้าใจปัญหานี้เนื่องจากปัญหาจะเติบโตเร็วกว่าที่พวกเขากำลังแก้ไข

รายงานแนะนำให้กำหนดท่าทางความปลอดภัยที่สะท้อนถึงลำดับความสำคัญของ บริษัท และการยอมรับความเสี่ยง บอร์ดองค์กรควรใช้รายการคำถามสี่ข้อของ "ความตึงเครียดแบบไดนามิก" เพื่อทำสิ่งนี้และทบทวนรายการบ่อยครั้งเพื่อวัดการเปลี่ยนแปลงความเสี่ยงกฎระเบียบและความเชี่ยวชาญภายใน
CISO จำเป็นต้องพัฒนาความสัมพันธ์ในการทำงานอย่างหนักกับสมาชิกคณะกรรมการและหาวิธีการใหม่เพื่อให้ความรู้แก่พวกเขาเกี่ยวกับความเสี่ยงในปัจจุบันและอนาคต CISO ควรทำงานร่วมกับคณะกรรมการเพื่อตอบคำถามสี่ข้อต่อไปนี้:

1. รูปแบบความเสี่ยงโดยรวมของเราสำหรับการควบคุมความปลอดภัยทางไซเบอร์คืออะไร?
2. เราจะเข้าถึงความเชี่ยวชาญได้อย่างไรที่ไหนและเมื่อไหร่เพื่อทำความเข้าใจกับความเสี่ยง?
3. ความร่วมมือหรือการแข่งขันเป็นแนวทางที่เราต้องการกับพันธมิตรในอุตสาหกรรมหรือไม่
4. เราจะแบ่งปันและแลกเปลี่ยนข้อมูลกับไซเบอร์กับฝ่ายบริหารและ CISO ได้อย่างไร?

กุญแจสำคัญคือการถามและตอบคำถามเหล่านี้บ่อย ๆ เพื่อ "เพิ่มจำนวน Upside และลดความเสี่ยง" ของวิธีการของ บริษัท ในการจัดการความปลอดภัย รายงานพบว่าไม่มีคำตอบที่ถูกต้องสำหรับคำถามและคำตอบที่ดีที่สุดมีการเปลี่ยนแปลงอยู่ตลอดเวลา:

รายงานแนะนำให้คณะกรรมการ บริษัท ใช้กรอบการทำงานนี้เพื่อดูแลและควบคุมความปลอดภัยทางไซเบอร์ในองค์กรในขณะนี้และเมื่อมีภัยคุกคามและข้อบังคับใหม่เกิดขึ้น

เป้าหมายในอนาคตสำหรับความปลอดภัยทางไซเบอร์

เมื่อ บริษัท ตัดสินใจว่าจะรับความตึงเครียดได้มากเท่าไหร่ขั้นตอนต่อไปคือการสร้างเพื่ออนาคต
รายงานกำหนดเป้าหมายยืดความปลอดภัยทางไซเบอร์หลายประการ:

  • ผสานรวมความปลอดภัยทางไซเบอร์และนวัตกรรมเข้าด้วยกันเพื่อจินตนาการถึงผลลัพธ์ที่เป็นบวกไม่ใช่แค่สถานการณ์ที่เลวร้ายที่สุดเท่านั้น
  • ทำงานกับหน่วยงานกำกับดูแลเพื่อปรับปรุงสภาพแวดล้อมความปลอดภัยทางไซเบอร์โดยรวม
  • สร้างความแตกต่างภายในและภายนอกระหว่างความเป็นส่วนตัวและความปลอดภัยทางไซเบอร์
  • กำหนดบทบาทที่ชัดเจนสำหรับ CISO และหัวหน้าเจ้าหน้าที่ความเป็นส่วนตัวและระบุเมื่อโดเมนของพวกเขาตัดกัน
  • ผลักดันแนวคิดการรักษาความปลอดภัยทางไซเบอร์เข้าสู่กระบวนการระดับผลิตภัณฑ์และปฏิบัติต่อลูกค้าและลูกค้าในฐานะหุ้นส่วนที่รับผิดชอบ

พวกเขากล่าวว่า บริษัท ที่ใช้วิธีการนี้จะปรับปรุงความยืดหยุ่นขององค์กรอย่างแท้จริงโดยการสร้างระบบที่พัฒนาขึ้นตามกาลเวลาและมีความแข็งแกร่งกว่าที่เคยเป็นมา

ในการเริ่มต้นพัฒนาวิธีการกำกับดูแลความปลอดภัยบนโลกไซเบอร์รายงานเสนอแนวทางในการตัดสินใจว่า บริษัท จะสามารถรับความตึงเครียดได้มากแค่ไหนในองค์ประกอบทั้งสี่

# 1: การจัดการความเสี่ยงมาตรฐานหรือภัยคุกคามที่มีอยู่?

ความตึงเครียดแบบไดนามิกครั้งแรกนี้คือการตัดสินใจด้านการกำกับดูแลที่สำคัญที่สุด: ความปลอดภัยทางไซเบอร์เป็นเพียงความเสี่ยงอีกประเภทหนึ่งหรือจำเป็นต้องมีการกำหนดเป็นพิเศษหรือไม่? รายงานพบว่ากรรมการจำนวนน้อยคิดว่าความปลอดภัยทางไซเบอร์สามารถรวมเข้ากับระบบการบริหารความเสี่ยงขององค์กรที่มีอยู่ ตัวเลือกการกำกับดูแลนี้ได้รับอิทธิพลอย่างมากจากเหตุการณ์ภายนอกที่เปิดเผยช่องโหว่และค่าใช้จ่ายที่ไม่คาดคิด

ในการเลือกแนวทางคณะกรรมการต้องพิจารณาว่าใครเป็นผู้รับผิดชอบการจัดการความเสี่ยงภายในและองค์กรจากนั้นพิจารณาว่าควรมีการรวมศูนย์หรือกระจายอำนาจจากส่วนกลางหรือไม่

ความซับซ้อนเหล่านี้เป็นส่วนหนึ่งของเหตุผลที่ไม่มีใครพร้อมที่จะใช้ "ความปลอดภัยโดยการออกแบบ" ตามที่สมาชิกคณะกรรมการสัมภาษณ์สำหรับรายงาน

บอร์ดที่ต้องการแนวทางแบบดั้งเดิมมากขึ้นควรส่งเสริมความเสี่ยงทางไซเบอร์ให้อยู่ในระดับสูงภายในลำดับชั้นของความเสี่ยงขององค์กรและกำหนดความคาดหวังให้กับเจ้าหน้าที่รักษาความปลอดภัยข้อมูลระดับหัวหน้าอย่างชัดเจนเมื่อเปรียบเทียบกับเจ้าหน้าที่ความเสี่ยงระดับหัวหน้า

หากคณะกรรมการเห็นว่าการรักษาความปลอดภัยทางไซเบอร์เป็นภัยคุกคามที่มีอยู่สมาชิกควรจัดลำดับความสำคัญของความเสี่ยงทางไซเบอร์ในห่วงโซ่อุปทานและพัฒนาวัฒนธรรมของการเตรียมความพร้อมและการทดสอบความเครียดรวมถึงสถานการณ์กึ่งกรณีที่เลวร้ายที่สุด

# 2: ใครคือผู้เชี่ยวชาญ

การตัดสินใจที่นี่เป็นเรื่องเกี่ยวกับผู้ที่จะต้องรับผิดชอบต่อความปลอดภัยในคณะกรรมการ บริษัท - ที่นั่งคณะกรรมการที่กำหนดหรือคณะกรรมการทั้งคณะ รายงานพบว่ากรรมการส่วนใหญ่เชื่อว่าสมาชิกทุกคนในบอร์ดต้องการความรู้ด้านความปลอดภัยทางไซเบอร์ที่สำคัญในการทำงาน

ผู้กำกับคนหนึ่งเปรียบเทียบสถานการณ์กับการจัดการทีมเบสบอล: ทีมสามารถทำงานได้ดีกับผู้เล่นที่มีความเชี่ยวชาญสูงที่เล่นตำแหน่งเดียวและผู้เล่นกึ่งเชี่ยวชาญที่สามารถเล่นได้มากกว่าหนึ่งคน ความท้าทายคือการรู้ว่าเมื่อใดที่ บริษัท ต้องการผู้เชี่ยวชาญและเมื่อใดที่ Generalist จะทำเช่นนั้น

ข้อเสียอย่างหนึ่งของการกระจายความรับผิดชอบคือกรรมการหลายคนมีความคิดผิด ๆ ที่จะคิดอย่างสร้างสรรค์เกี่ยวกับความปลอดภัย:

บริษัท ที่พึ่งพาความรับผิดชอบในวงกว้างสำหรับผู้เชี่ยวชาญด้านความปลอดภัยควรมองหาบุคคลที่สามเพื่อรับความรู้เฉพาะทางและเพื่อหลีกเลี่ยงกับดักที่คิดเป็นกลุ่ม รายงานยังแนะนำให้มอบหมายงานการกำกับดูแลเฉพาะให้คณะกรรมการเพื่อกำหนดความรับผิดชอบที่ชัดเจน

สำหรับบอร์ดที่ต้องการให้มีผู้เชี่ยวชาญด้านไซเบอร์เป็นผู้นำกลุ่มควรจัดลำดับความสำคัญของการอภิปรายแบบเต็มกระดานเกี่ยวกับการกำกับดูแลไซเบอร์และจ้างผู้เชี่ยวชาญในประเด็นภายนอกเพื่อทดสอบและปรับปรุงความเชี่ยวชาญภายใน

# 3 - การแข่งขันเริ่มต้นหรือความร่วมมือคืออะไร?

มีความไม่แน่นอนมากมายเกี่ยวกับองค์ประกอบของการกำกับดูแลความปลอดภัยทางไซเบอร์นี้กับสมาชิกคณะกรรมการที่เห็นข้อดีและข้อเสียสำหรับทั้งสองวิธี สมาชิกในคณะกรรมการคิดว่ากฎหมายและนโยบายการต่อต้านการผูกขาดและการแข่งขันกำลังสร้างอุปสรรคในการร่วมมือกันอย่างแข็งขันมากขึ้น

ในอีกด้านหนึ่งสมาชิกคณะกรรมการเห็นคุณค่าในการใช้แรงกดดันในการแข่งขันเพื่อกระตุ้นให้ บริษัท ต่างๆคิดค้นนวัตกรรม ข้อเสียของวิธีการแข่งขันคือการอ้างว่าข้อได้เปรียบด้านความปลอดภัยอาจทำให้ บริษัท เป็นเป้าหมายสำคัญสำหรับผู้โจมตีและ บริษัท ต่างๆขึ้นอยู่กับความปลอดภัยของผู้ใช้รายหนึ่งในระบบนิเวศโดยรวม

มีความได้เปรียบในการดูแลรักษาตัวเองเพื่อแนวทางความร่วมมือในการเสี่ยงที่จะหลีกเลี่ยงคู่แข่งอาจกลายเป็นปัญหาในภายหลัง

สำหรับคณะกรรมการที่มุ่งสู่การแข่งขันรายงานแนะนำให้ บริษัท ต่าง ๆ วัดผลตอบแทนจากการลงทุนด้านความปลอดภัยนอกเหนือจากการป้องกันและบูรณาการความเป็นส่วนตัวและความปลอดภัยโดยการออกแบบในการพัฒนาผลิตภัณฑ์

หากความคิดของสินค้าส่วนรวมมีประสิทธิภาพมากกว่า บริษัท ควรลงทุนในความสามารถในการแบ่งปันข้อมูลระหว่างภาครัฐและเอกชนและวัด "ภูมิคุ้มกันฝูง" สุขภาพของระบบนิเวศความปลอดภัยโดยรวม

รายงานเน้นว่าสิ่งนี้ไม่ใช่ตัวเลือก / หรือตัวเลือกและกลยุทธ์รอบองค์ประกอบนี้มีความละเอียดอ่อนและลื่นไหลมากกว่าที่ปรากฏ

# 4 การสัมผัสสูงหรือความยาวของแขนมีประสิทธิภาพมากกว่าหรือไม่

รายงานพบว่ายังไม่มีใครทราบได้ หนึ่งในความท้าทายที่ยิ่งใหญ่ที่สุดคือการเลือกตัวชี้วัดที่ทั้งสองมีประโยชน์ในขณะนี้และยังคงมีความเกี่ยวข้องเมื่อการเปลี่ยนแปลงภูมิทัศน์ของภัยคุกคาม

สมาชิกในคณะกรรมการกล่าวว่าความเร็วของการเปลี่ยนแปลงและฝ่ายตรงข้ามที่ปรับตัวเพิ่มความซับซ้อนมากยิ่งขึ้น

บอร์ดที่ชอบการวัดควรเลือกกรอบการทำงานที่สอดคล้อง แต่อนุญาตให้การวัดพัฒนาและเสริมการวัดเชิงปริมาณด้วยลักษณะเชิงคุณภาพแบบบูรณาการ

กรรมการที่ชอบการกำกับดูแลโดยการเดินไปรอบ ๆ ควรทำให้ผู้บริหารและพนักงานมีความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์และใช้แนวทาง "เชื่อมั่น แต่ยืนยัน" กับ CISO

รายงานดังกล่าวยังขาดจินตนาการจากสมาชิกคณะกรรมการในการคิดเกี่ยวกับนวัตกรรม:

ศูนย์การรักษาความปลอดภัยทางไซเบอร์ในระยะยาวเป็นศูนย์กลางการวิจัยและการทำงานร่วมกันที่ช่วยให้บุคคลและองค์กรต่างๆจัดการกับความท้าทายด้านความปลอดภัยของข้อมูลในวันพรุ่งนี้เพื่อขยายส่วนของการปฏิวัติทางดิจิตอล

จดหมายข่าวภายในไซเบอร์ปลอดภัย

เสริมสร้างการป้องกันความปลอดภัยด้านไอทีขององค์กรของคุณโดยการติดตามข่าวสารล่าสุดของการรักษาความปลอดภัยบนโลกไซเบอร์โซลูชั่นและแนวทางปฏิบัติที่ดีที่สุด จัดส่งวันอังคารและวันพฤหัสบดี

สมัครวันนี้

© Copyright 2020 | mobilegn.com