Hvorfor bedriftsstyrer er uforberedt på å håndtere nettbasert sikkerhetsrisiko

Hvorfor bedriftsstyrer er uforberedt på å håndtere nettbaserte sikkerhetsrisikoer En ny rapport anbefaler at bedriftsstyrer regelmessig svarer på fire viktige spørsmål for å veilede styring av nettesikkerhet.

Det er ikke noe instrumentpanel eller angitte beregninger for å håndtere cybersikkerhet. Angrepsoverflaten er så bred og de potensielle truslene beveger seg så raskt at tradisjonelle regler ikke gjelder. Ikke bare må bedriftsstyremedlemmer og CISOs løpe for å følge med et mål i bevegelse, de trenger en helt ny tilnærming for å forstå saken.

Booz Allen Hamilton og Center for Long-Term Cybersecurity (CLTC) ved University of California, Berkeley, kan ha svaret i en ny rapport, "Vurderinger for effektiv overvåking av cyberrisiko." Bill Phelps, konserndirektør, leder for kommersiell virksomhet, Booz Allen Hamilton, og Ann Cleaveland, administrerende direktør for CLTC, og Steve Weber, fakultetsdirektør for CTLC, skrev rapporten.

I løpet av sommeren 2019 intervjuet teamet 20 bedriftsstyremedlemmer fra kommunikasjonstjenester, forbruksvarer, finansnæringen, helsehjelp, verktøy, informasjonsteknologi og eiendom. Målet var å vurdere deres tro, praksis og ambisjoner om cybersecurity governance.

Hvordan få brukere om bord med viktige sikkerhetstiltak (gratis PDF)

Styremedlemmer sa at cybersecurity er en eksistensiell risiko for virksomheter, og at de ønsker å forstå problemet fordi problemene vokser raskere enn de løses.

Rapporten anbefaler å definere en sikkerhetsstilling som gjenspeiler et selskaps prioriteringer og risikotoleranser. Bedriftsstyrer bør bruke en liste over fire spørsmål om "dynamiske spenninger" for å gjøre dette og revidere listen ofte for å måle endringer i risiko, regulering og intern kompetanse.
CISOs må utvikle et dypt arbeidsforhold med styremedlemmer og finne nye måter å utdanne dem til aktuelle risikoer og fremtidige risikoer. CISOs bør samarbeide med styret for å svare på disse fire spørsmålene:

1. Hva er vår overordnede risikomodell for styring av cybersikkerhet?
2. Hvor, hvordan, og når får vi tilgang til ekspertisen for å forstå risikoen?
3. Er samarbeid eller konkurranse vår foretrukne tilnærming med bransjepartnere?
4. Hvordan deler og utveksler vi informasjon om cyber med ledelsen og CISO?

Nøkkelen er å stille og svare på disse spørsmålene ofte for å "multiplisere ulemperne og risikere ulempen" for et selskaps tilnærming til å styre sikkerhet. Rapporten fant at det ikke er ett riktig svar på spørsmålene, og at det beste svaret endres over tid:

Rapporten anbefaler at bedriftsstyrer bruker dette rammeverket for å føre tilsyn med og styre nettesikkerhet i bedriften akkurat nå og når nye trusler og forskrifter dukker opp.

Fremtidige mål for cybersecurity

Når et selskap bestemmer hvor mye spenning som er tålelig, er neste trinn å bygge for fremtiden.
Rapporten setter flere målsettinger for nett-sikkerhet:

  • Integrer cybersikkerhet og innovasjon for å forestille deg positive resultater, ikke bare i verste fall
  • Arbeid med regulatorer for å forbedre det generelle nettmiljøet
  • Foreta forskjellen internt og eksternt mellom personvern og cybersikkerhet
  • Definer klare roller for CISOs og sjef for personvernombud og identifiser når domenene deres krysser hverandre
  • Skyv nettbasert tenkning til prosesser på produktnivå og behandle kunder og klienter som ansvarlige partnere

Bedrifter som tar denne tilnærmingen, sa de, vil virkelig forbedre bedriftsmotstanden ved å bygge et system som utvikler seg over tid og fremstår sterkere enn det var før.

For å begynne å utvikle en tilnærming til nettverksstyring tilbyr rapporten veiledning for hvordan du kan bestemme hvor mye spenning et selskap tåler i hver av de fire komponentene.

# 1: Standard risikostyring eller eksistensiell trussel?

Denne første dynamiske spenningen er den viktigste styringsvedtaket: Er nett sikkerhet ikke bare en annen kategori av risiko, eller trenger den sin egen spesielle betegnelse? Rapporten fant at få direktører tror at nettbasert sikkerhet kan integreres i eksisterende risikostyringssystemer for bedrifter. Dette styringsvalget er sterkt påvirket av eksterne hendelser som avslører uventede sårbarheter og kostnader.

For å velge en tilnærming, må styrene først finne ut hvem som er ansvarlig for å håndtere risiko innen og organisering og deretter bestemme om disse ansvarene skal sentraliseres eller desentraliseres.

Disse kompleksitetene er en del av grunnen til at ingen er klar til å implementere "sikkerhet ved design", ifølge styremedlemmene som er intervjuet for rapporten.

Tavler som ønsker en mer tradisjonell tilnærming, bør fremme cyberrisiko til et høyt nivå innen hierarkiet for bedriftsrisiko og tydelig definere forventninger til sjefene for informasjonssikkerhet sammenlignet med sjefrisikobetjent.

Hvis styret ser cybersecurity som en eksistensiell trussel, bør medlemmene prioritere due diligence av cyberrisiko i forsyningskjeden og utvikle en kultur for beredskap og stresstesting inkludert semi-worst-case scenarier.

# 2: Hvem er eksperten?

Avgjørelsen her handler om hvem som skal være ansvarlig for sikkerhet i et konsernstyre - ett utpekt styresete eller hele styret. Rapporten fant at flertallet av styremedlemmene mener alle styremedlemmer trenger betydelig kunnskap om nettbasert sikkerhet for å gjøre jobben sin.

En direktør sammenlignet situasjonen med å styre et baseballlag: Et lag kan prestere godt med en blanding av høyspesialiserte spillere som spiller en stilling og semispesialiserte spillere som kan spille mer enn en. Utfordringen er å vite når et selskap trenger en spesialist og når en generalist vil gjøre det.

En ulempe med å fordele ansvaret er at mange regissører har feil tankesett til å tenke kreativt om sikkerhet:

Bedrifter som lener seg mot et bredt ansvar for sikkerhetskompetanse, bør se til tredjepart for spesialisert kunnskap og for å unngå fellestankegang. Rapporten anbefaler også å tilordne spesifikke tilsynsoppgaver til utvalg for å sette klar ansvarlighet.

For styrer som foretrekker å ha en cyberekspert ta ledelsen, bør gruppen prioritere diskusjoner med full styring om nettkontroll og ansette eksterne fageksperter for å teste og forbedre intern kompetanse.

# 3 - Er standard konkurranse eller samarbeid?

Det var mye usikkerhet rundt dette elementet i nettverksstyring med styremedlemmer som ser fordeler og ulemper for begge tilnærminger. Styremedlemmer mener også at antitrust- og konkurranserett og politikk skaper hindringer for et mer aktivt samarbeid og tilbud av kollektive cybersecurity-varer.

På den ene siden ser styremedlemmer verdien av å bruke konkurransepress for å oppfordre selskaper til å innovere. Ulempene med en konkurransedyktig tilnærming er at å kreve en sikkerhetsfordel kan gjøre et selskap til et hovedmål for angripere og firmaer avhengig av en andres sikkerhet i det samlede økosystemet.

Det er en selvbevarende fordel ved en samarbeidende tilnærming ved at skifterisiko for en konkurrent kan bli til et problem senere.

For et styre som lener seg mot konkurranse, anbefaler rapporten at selskaper måler avkastning på sikkerhetsinvesteringer utover beskyttelse og integrerer personvern og sikkerhet etter design i produktutviklingen.

Hvis ideen om et kollektivt gode er kraftigere, bør selskaper aktivt investere i informasjonsdelingsfunksjoner på tvers av private og offentlige sektorer og måle "flokkunimmunitet", helsen til det generelle sikkerhetsøkosystemet.

Rapporten understreker at dette ikke er et enten / eller valg, og strategi rundt denne komponenten er mer subtil og flytende enn den ser ut.

# 4 Er høy berøring eller armlengde mer effektiv?

Rapporten fant at ingen har funnet det ut ennå. En av de største utfordringene er å velge beregninger som begge er nyttige akkurat nå og som kan forbli relevant når trusselandskapet endres.

Styremedlemmer sa at endringshastigheten og tilpasningsdyktige motstandere gir enda mer kompleksitet.

Tavler som foretrekker beregninger, bør velge et konsistent rammeverk, men la målingene utvikle seg og supplere kvantitative beregninger med integrerte kvalitative aspekter.

Styremedlemmer som foretrekker styring ved å gå rundt, bør gjøre det enkelt for ledelsen og de ansatte å eksponere risikoer for nettsikkerhet og ta en "tillit men verifisere" tilnærming med CISO.

Rapporten påkalte også mangel på fantasi fra styremedlemmer når de tenkte på innovasjon:

Center for Long-Term Cybersecurity er et forsknings- og samarbeidsknutepunkt som hjelper enkeltpersoner og organisasjoner til å møte morgendagens informasjonssikkerhetsutfordringer for å forsterke oppsiden av den digitale revolusjonen.

Cybersecurity Insider Nyhetsbrev

Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager

Registrer deg i dag

© Copyright 2020 | mobilegn.com