De raad van bestuur ziet u nu

Al meer dan 15 jaar praat de cyberbeveiligingsindustrie over communicatie met de raad van bestuur. Het is gebruikelijk dat leveranciers e-books, webinars en presentaties hebben over hoe en wat Chief Information Security Officers (CISO's) aan hun directies moeten presenteren — wanneer ze de kans krijgen.

Naast een gebrek aan kansen, kunnen CISO's bang zijn om voor het bestuur te presenteren, omdat zij de enige C-level executives zijn zonder een eigen tool om ROI meten. Van Salesforce tot Workday tot Marketo, C-suite executives hebben platformoplossingen die elk aspect van de operatie samenvoegen, analyseren en rapporteren. Een dergelijke oplossing bestaat niet voor de CISO, waardoor het moeilijker wordt om de ROI van het beveiligingsprogramma te meten of om de bedrijfswaarde aan te tonen.

De ironie is dat, ondanks alle interesse om aan hen te presenteren, het een understatement is om te zeggen dat cyberbeveiliging geen kerncompetentie van het bestuur is. WSJ Pro cyberbeveiligingsonderzoek onderzocht de professionele achtergrond van alle S&P 500-bestuursleden en ontdekte dat minder dan 2% "relevante professionele ervaring in cyberbeveiliging had in de afgelopen 10 jaar."

Het maakt niet uit wie je bent, het is moeilijk om grote belangstelling te hebben voor iets dat je niet begrijpt. Dat wil zeggen, totdat je gemotiveerd bent om te leren. Wat we nu voor ons hebben, is een geweldig ontwaken voor besturen en cyberbeveiliging, met dank aan de Securities and Exchange Commission (SEC).

Think Harvard Business Review, “een voorgestelde SEC-regel zal bedrijven verplichten om hun cyberbeveiligingsbeheercapaciteiten openbaar te maken, inclusief het toezicht van het bestuur op cyberrisico's, een beschrijving van de rol van het management bij het beoordelen en beheren van cyberrisico's, de relevante expertise van dergelijk management en de rol van het management bij het implementeren van de cyberbeveiligingsbeleid, procedures en strategieën.”

Ik zou verwachten dat vanaf nu meer besturen op zoek gaan naar ervaren leidinggevenden met een achtergrond in cybersecurity. Wat betekent dit ondertussen voor CISO's?

Een grote kans

Met een plotselinge interesse in cybersecurity, maar weinig kennis ervan, kan wat de bestuursleden willen weten versus wat ze moeten weten heel anders zijn. Bijvoorbeeld te veel focussen op de laatste aanval in het nieuws of te veel focussen op compliance. Net als leren op de proef stellen, kan het bereiken van compliance een goede stap in de goede richting zijn, maar het is niet altijd hetzelfde als streven naar het implementeren van de best mogelijke beveiligingsmaatregelen. Wanneer het bereiken van compliance het beveiligingsdoel wordt in plaats van het minimaliseren van risico's en het beschermen van de meest kritieke bedrijfsmiddelen, hebben we het punt gemist.

Wat een kans voor de CISO om een 'cybersecurity als business enabler'-verhaal voor hun organisatie te creëren. Je plek in de bestuurskamer is nu verzekerd. In plaats van af en toe een eenmalige update, maakt u nu doorlopend deel uit van het zakelijke gesprek. Dit is een kans om cyberbeveiliging te plaatsen in de context van zakelijke beslissingen die het bestuur begrijpt. Sloot acroniemen en technisch gepraat over bedreigingen, kwetsbaarheden en aanvallen af. Spreek vloeiend de taal van het bedrijfsleven en praat over de cybergevolgen van zakelijke beslissingen die elke dag worden genomen.

Het gebruik van SaaS-apps die werknemers productiever maken in een hybride werkomgeving, stelt de organisatie ook meer bloot aan risico's, aangezien kritieke bedrijfsgegevens nu in handen zijn van een derde partij. Zakelijke partnerschappen die geografische expansie stimuleren, nieuwe apps zo snel mogelijk op de markt brengen om marktaandeel te veroveren, of overnames doen om het technische team op te schalen, hebben allemaal enorme gevolgen voor de cyberbeveiliging. Als u bijvoorbeeld een bedrijf overneemt, erft u ook het aanvalsoppervlak. Het is niet alleen een nieuwe groep werknemers die toegang nodig heeft tot bedrijfsmiddelen, maar ook al hun contractanten, partners, leveranciers, enzovoort. Het is een ingewikkeld, uitgebreid digitaal web van verbonden activa en implicaties.

Beveiligingsleiders doen er goed aan om cybersecurity tastbaar te maken in een zakelijke context. Net als bij elk ander onderdeel van het bedrijf moeten er beslissingen worden genomen en afwegingen worden gemaakt, allemaal gerelateerd aan het aanvaardbare risiconiveau waaraan de organisatie bereid is zichzelf bloot te stellen.

Automatisering en bewijs

Onder de ogen van de SEC heeft het bestuur bewijs nodig van de activa waarvoor het verantwoordelijk is en hoe het wordt gecontroleerd en proactief wordt beschermd. In het geval van een inbreuk, wanneer wist het bestuur ervan en hoe snel reageerde het en maakte het het incident bekend?

Het begint met weten wat je beschermt en hoe je dat doet. Het ontdekken van kritieke activa wordt een kerncompetentie die ten grondslag ligt aan zichtbaarheid, classificatie en herstelinspanningen in een modern cyberbeveiligingsprogramma. Detectie en classificatie moeten worden geautomatiseerd om de omvang, beweging en groei van gegevens en bedrijfsgerelateerde bedrijfsmiddelen in hybride clouds, SaaS-partners en digitale toeleveringsketens aan te kunnen. Bescherming begint met volledige zichtbaarheid van dit uitgestrekte aanvalsoppervlak, inclusief elke afhankelijkheid, verbinding en kwetsbaarheid in alle openbare middelen. Van daaruit kunt u prioriteit geven aan bescherming tegen de meest kritieke bedreigingen voor uw meest waardevolle bedrijfsmiddelen.

Geautomatiseerde ontdekking kan ook activa identificeren die slapend, ongebruikt en onnodig zijn. Op die manier kunnen ze effectief worden ontmanteld om te verminderen cyberrisico en tegelijkertijd de wildgroei van het oppervlak aanvallen.

Conclusie

Dit is niet het moment om het bestuur te informeren over het verschil tussen malware en ransomware. Het gaat erom een compleet beeld te schetsen van het dreigingslandschap en de specifieke risico's en blootstellingen waarmee de organisatie wordt geconfronteerd. CISO's zouden moeten praten over het algehele beveiligingsprogramma en strategische initiatieven om het bedrijf in staat te stellen en tegelijkertijd risico's te meten en te verminderen.

Help het bestuur te begrijpen waar het bedrijf kwetsbaar is, waar controles eindigen en waar blootstelling begint. Wat zijn de gevolgen en beschermingsmogelijkheden? Uiteindelijk is cyberbeveiliging een zakelijke uitdaging, net als groeiende marges en marktaandeel. Strategische prioriteiten en investeringen afgestemd op bedrijfsdoelstellingen. Klinkt zo simpel.

Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
Bron: https://www.darkreading.com/risk/the-board-of-directors-will-see-you-now

Generatieve data-intelligentie

Een grote kans

Automatisering en bewijs

Conclusie

Beste meme-muntkeuzes voor langetermijnbezit: Dogecoin (DOGE), Shiba Inu (SHIB) en Furrever Token (FURR)

Beste meme-muntkeuzes voor langetermijnbezit: Dogecoin (DOGE), Shiba Inu (SHIB) en Furrever Token (FURR)

Laatste intelligentie

Crypto krijgt een tweede kans: Stripe betreedt de sector opnieuw met Stablecoins

Rabbit R1-recensies kondigen 'opvallende' AI-assistent aan na rampzalige lancering van humane pins - ontsleutelen

Memecoins op de vlucht als PEPE en BOME prijsbrekerweerstand?

Franklin Templeton maakt peer-to-peer-transacties van Blockchain Fund mogelijk – decoderen

De beste Ethereum Layer-2-netwerken gebruiken Avail DA om de rollup-efficiëntie en veiligheid te vergroten

Ondanks de marktvolatiliteit bereikt MicroStrategy's “BTC per aandeel” bijna recordniveaus

Chat met ons