15 年以上にわたり、サイバーセキュリティ業界は、 取締役会. ベンダーは、機会があれば、最高情報セキュリティ責任者 (CISO) が取締役会にどのように、また何を提示する必要があるかについて、電子ブック、ウェビナー、およびプレゼンテーションを行うのが一般的です。

機会の欠如に加えて、CISO は取締役会にプレゼンテーションを行うことに不安を感じるかもしれません。 ROIの測定. Salesforce から Workday、Marketo に至るまで、経営幹部は業務のあらゆる側面を集約、分析、レポートするプラットフォーム ソリューションを利用しています。 CISO にはそのようなソリューションがないため、セキュリティ プログラムの ROI の測定やビジネス価値の実証が難しくなっています。

皮肉なことに、サイバーセキュリティは取締役会のコアコンピタンスではないというのは控えめな表現です。 WSJ Pro サイバーセキュリティ調査 は、S&P 500 のすべての取締役会メンバーの専門的経歴を調査し、「過去 2 年間にサイバーセキュリティに関連する専門的経験を持っている」のは 10% 未満であることを発見しました。

どんな人でも、わからないことに大きな関心を持つのは難しいものです。 つまり、学習意欲が高まるまでです。 私たちの目の前にあるのは、証券取引委員会 (SEC) の厚意により、取締役会とサイバーセキュリティに対する大きな目覚めです。

による ハーバード·ビジネス·レビュー、「提案された SEC 規則は、サイバーリスクの取締役会の監督、サイバーリスクの評価と管理における経営陣の役割の説明、そのような経営陣の関連する専門知識、および会社のサイバーセキュリティのポリシー、手順、および戦略。」

より多くの取締役会がサイバーセキュリティのバックグラウンドを持つ経験豊富な幹部を今すぐ探し始めると思います。 それまでの間、これは CISO にとって何を意味するのでしょうか?

絶好の機会

サイバーセキュリティに突然関心を持ったものの、それについての知識がほとんどない場合、取締役会のメンバーが知りたいことと知る必要があることは、まったく異なる可能性があります。 たとえば、見出しの最新の攻撃に注目しすぎたり、コンプライアンスに注目しすぎたりします。 テストへの指導と同様に、コンプライアンスを達成することは正しい方向への良い一歩かもしれませんが、可能な限り最善のセキュリティ対策を実装しようと努力することとは必ずしも同じではありません. リスクを最小限に抑えて最も重要な資産を保護する代わりに、コンプライアンスを達成することがセキュリティの目標になったとき、私たちは要点を見落としています。

CISO にとって、組織の「ビジネス イネーブラーとしてのサイバーセキュリティ」の物語を作成する絶好の機会です。 会議室でのあなたの場所は確保されました。 時折の XNUMX 回限りの更新ではなく、継続的にビジネス上の会話に参加できるようになりました。 これは、取締役会が理解しているビジネス上の意思決定のコンテキストにサイバーセキュリティを配置する機会です。 脅威、脆弱性、攻撃の頭字語や技術的な話はやめましょう。 ビジネス用語に堪能であり、毎日行われるビジネス上の意思決定がサイバー犯罪に及ぼす影響について話してください。

ハイブリッド ワーク環境で従業員の生産性を高める SaaS アプリを使用すると、重要なビジネス データがサード パーティの管理下にあるため、組織はよりリスクにさらされることになります。 地理的な拡大を促進するビジネス パートナーシップ、市場シェアを獲得するためにできるだけ早く新しいアプリを市場に投入すること、またはエンジニアリング チームを拡大するために買収することはすべて、サイバーセキュリティに多大な影響をもたらします。 たとえば、企業を買収すると、攻撃対象領域も継承されます。 エンタープライズ リソースにアクセスする必要があるのは、新しい従業員グループだけではなく、すべての請負業者、パートナー、サプライヤーなどです。 それは、接続された資産と影響のもつれ、拡張されたデジタル Web です。

セキュリティ リーダーは、ビジネス コンテキストでサイバーセキュリティを具体的にすることをお勧めします。 ビジネスの他の部分と同様に、決定を下す必要があり、考慮すべきトレードオフがあります。これらはすべて、組織がさらされても構わないと思っているリスクの許容レベルに関連しています。

自動化と証拠

SEC の監視下で、取締役会は、どの資産に対して責任を負い、どのように監視され、積極的に保護されているかについての証拠を必要としています。 侵害が発生した場合、取締役会はいつそれを知り、どのくらいの速さでインシデントに対応して開示しましたか?

それは、何を保護しているのか、どのように保護しているのかを知ることから始まります。 重要な資産の発見は、最新のサイバーセキュリティ プログラムにおける可視性、分類、修復の取り組みを支えるコア コンピテンシーになります。 ハイブリッド クラウド、SaaS パートナー、デジタル サプライ チェーン全体で、データと企業に接続された資産のサイズ、移動、増加に対処するには、検出と分類を自動化する必要があります。 保護は、公開されているすべての資産にわたるすべての依存関係、接続、および脆弱性を含む、この無秩序に広がる攻撃面を完全に可視化することから始まります。 そこから、最も価値のある資産に対する最も重大な脅威に対する保護に優先順位を付けることができます。

自動検出により、休眠状態、未使用、不要な資産を特定することもできます。 そのようにして、それらを効果的に廃止して削減することができます サイバーリスク 同時に攻撃面の広がり。

まとめ

今は、マルウェアとランサムウェアの違いについて取締役会を教育する時ではありません。 それは、組織が直面している脅威の全体像と、特定のリスクとエクスポージャーの全体像を描くことです。 CISO は、全体的なセキュリティ プログラムと、リスクを測定して軽減しながらビジネスを可能にするための戦略的イニシアチブについて話し合う必要があります。

ビジネスが脆弱な場所、制御が終了する場所、露出が始まる場所を取締役会が理解できるようにします。 結果と保護オプションは何ですか？ 結局のところ、サイバーセキュリティは、マージンや市場シェアの拡大と同様に、ビジネス上の課題です。 ビジネス目標に沿った戦略的優先事項と投資。 とてもシンプルに聞こえます。

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/risk/the-board-of-directors-will-see-you-now