لم يكن الأمن السيبراني أكثر وضوحا في الأعمال من قبل. أدى العدد الهائل من القصص حول الاختراقات التي تؤثر على الشركات إلى دفع هذا الأمر إلى أعلى جدول الأعمال ، في حين أن متطلبات لجنة الأوراق المالية والبورصات على تقارير الأمن السيبراني سيجبر الآخرين على تحسين وضعهم أيضًا. يعني التأثير هنا أن مجالس الإدارة الآن أكثر احتمالًا من أي وقت مضى لتشمل CISO أو ما يعادله.

وفقًا لـ Heidrick and Struggles '2022 مسح مسؤول أمن المعلومات، CISOs لديهم أذن مجلس الإدارة - 88 ٪ يحضرون شهريًا حول أنشطتهم إلى مجلس الإدارة بالكامل أو إلى لجنة مجلس الأمن السيبراني.

لذا ، بصفتنا متخصصين في الأمن السيبراني ، كان يجب أن نكون قد وصلنا إلى تلك الأرض الموعودة حيث نشعر بتأثيرنا ويمكننا تحقيق الأهداف التي نريد تحقيقها ، أليس كذلك؟ خطأ. مثل كلب طارد سيارة ، لقد أمسكنا بها الآن ويجب أن نحدد بالضبط ما سنحققه من خلال المسؤولية الناتجة. الحقيقة هي أن العمل الجاد قد بدأ للتو.

العمل وليس الكلمات

لا يكفي تقديم نظرة ثاقبة حول الأمن يمكن أن يفهمها المجلس ، على الرغم من أن هذه مهارة بحد ذاتها. التحدي الأكبر الذي يواجه CISOs هو كيفية إثبات أن عمليات الأمان والتحديثات لدينا ستقلل من المخاطر بطرق قابلة للقياس والتحقيق. بالنسبة لأولئك منا الذين حاربوا للحصول على مقعد على الطاولة ، قد تبدو هذه الاستجابة الفورية بمثابة عائد ضعيف على كل هذا الاستثمار.

تهتم المجالس بالمخاطر والالتزامات ، لذا يجب أن يكون النهج الذي تتبعه التركيز على المخاطروالاحتمالية والتخفيف. يمكن أن يكون هذا التركيز على العمل حافزًا هائلاً لإجراء تغييرات في نهجك. يمكن أن تكون هذه أيضًا فرصة للنظر في كيفية الحصول على المزيد من الأساسيات عبر العملية مباشرة. قد لا تكون مجالات التتبع مثل إدارة الأصول والتصحيح ذات صلة بتقارير مجلس الإدارة ، ولكن تحسين هذه العمليات باستخدام الأتمتة والذكاء الاصطناعي يمكن أن يؤدي إلى تحسينات كبيرة.

على سبيل المثال ، يمكن أن يوفر الحصول على المزيد من دعم اللوحة الفرصة لاتباع نهج "الورقة البيضاء" في التخطيط والعملية الأمنية ، باستخدام سلطة المجلس لفرض التحديثات أو طرق العمل الجديدة. ومع ذلك ، بالنسبة لمعظم الشركات القائمة ، قد لا يكون هذا النهج ممكنًا. تعتبر معظم المنظمات أنه سيتم اختراقها عند التعبير عن موقفها الأمني. إنهم بحاجة الآن إلى المضي قدمًا إلى الأمام وقبول التغيير أمر لا مفر منه ، وأن بعض العمليات والتقنيات التقليدية ببساطة ليست بالسرعة الكافية لمواكبة مستوى وتعقيد التهديدات الحالية.

إظهار التأثير

العنصر الثاني هنا هو إثبات أن أفعالك لها تأثير. لهذا ، يجب أن تفكر فيما إذا كانت تغييراتك ستظهر نتائج فورية أو ستشعر بها على المدى الطويل. وبالمثل ، سيتعين عليك فهم ما إذا كانت هذه النتائج تمثل تحسينات لمرة واحدة أو فرصًا لتحقيق مكاسب طويلة الأجل ، حيث سيؤثر ذلك على كيفية مناقشتك لهذه المجالات مع مجلس الإدارة. يأتي هذا النهج مع تحذير - تأكد من إلقاء نظرة على المخاطر. في حين أن المكاسب السريعة مفيدة للعلاقات العامة ، إلا أنها لا تقلل دائمًا من المخاطر ، لذلك يجب على CISOs القيام بالأمرين معًا.

بالنسبة لأولئك الجدد في الوظيفة ، قد يؤدي إجراء التغييرات إلى تحسينات سريعة. على سبيل المثال ، من المفترض أن يؤدي تحسين تحديد الأولويات على التصحيحات إلى تسهيل معالجة المشكلات الخطيرة وذات المخاطر الأمنية العالية. يُعد إثبات أن هذه المشكلات تم إصلاحها ضمن معلمات اتفاقية مستوى الخدمة المتفق عليها طريقة رائعة لإثبات أنك تدير المشكلات - وبالتالي المخاطر - بشكل فعال. ومع ذلك ، قد تحتاج اتفاقية مستوى الخدمة الخاصة بك إلى التغيير - على سبيل المثال ، 30 يومًا لإجراء تصحيح حول المشكلات الحرجة ليس جيدًا بما يكفي. يمكن أيضًا استخدام هذه البيانات لتقليل تكاليف أقساط التأمين الإلكتروني ، حيث يمكنك إثبات وجود نظام مُدار جيدًا وصيانته بمرور الوقت.

كجزء من هذا ، يجب أن تنظر أيضًا في كيفية إدارة التوقعات المتعلقة بالأداء على المدى الطويل. كلما تحسنت ، سيستمر مستوى المخاطرة في الانخفاض بمرور الوقت - لكن المنحنى سيكون أقل حدة ، وستكون المكاسب أكثر هامشية. بمرور الوقت ، قد تكون تكلفة تحسين الأداء أعلى بكثير والعائد أقل وضوحًا. هذه علامة على وجود برنامج أمن إلكتروني فعال وناضج مع تركيز قوي على إدارة المخاطر ، ولكن الأمر سيستغرق وقتًا طويلاً لتحقيق ذلك. وضع التوقعات حول الأداء والمخاطر لذلك ، في وقت مبكر ، سيساعدك في الحصول على غرفة التنفس التي تحتاجها لمواصلة اتخاذ الإجراءات.

اتخاذ إجراءات

يعد الحصول على الاهتمام على مستوى مجلس الإدارة أحد الأهداف التي يمتلكها العديد من مدراء المعلومات ، حيث إنه جزء من رحلتهم المهنية ويضعهم في مكانة جيدة للقيام بأدوار مستقبلية. هذا يضع التركيز على ما تفعله وكيف يتم تنفيذ أولوياتك. وفقًا لأحد CISO الذي تحدثت معه في جميع أنحاء مجلس الإدارة ، فإن الأمر مشابه للاقتباس الشهير لأوسكار وايلد: "الشيء الوحيد الأسوأ من الحديث عنه هو عدم الحديث عنه." إن اتخاذ إجراء هو أفضل نهج لإظهار أنك تستحق هذا الاهتمام.

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
• أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
• أفلاطون السيارات / المركبات الكهربائية ، كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
• أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
• تشارت بريم. ارفع مستوى لعبة التداول الخاصة بك مع ChartPrime. الوصول هنا.
• BlockOffsets. تحديث ملكية الأوفست البيئية. الوصول هنا.
• المصدر https://www.darkreading.com/risk/boards-dont-want-security-promises-they-want-action