آیا هیئت مدیره شما واقعاً خطرات اینترنت شما را درک می کند؟


خلاصه اجرایی

روشهای اندازه گیری ریسک الکترونیکی در سالهای اخیر تکامل یافته اند ، اما هنوز روشهای فنی و محدود را منحرف می کنند – ارزیابیهای الکترونیکی واقعاً م mustثر باید ارزیابیهای جامعی باشند که تجزیه و تحلیل فنی ، حاکمیت ، فرهنگ و تأثیر مالی رویدادهای منفی سایبری را در نظر بگیرند. برای برطرف کردن شکاف ، رهبران شرکت باید یاد بگیرند که واقعاً بررسی ها و م componentsلفه های اساسی برای آنها چیست. با این وجود ، سواد در زمینه خطرات اینترنتی به این معنا نیست که هر مجری نیاز به یک کارشناس فنی دارد. معنی این امر این است که آنها باید بتوانند تحمل شرکت خود در برابر خطرات سایبری را نشان دهند ، نتایج بیشتری را که برای هدایت سرمایه گذاری در امنیت سایبری مربوط به تجارت آنها است و توانایی پرورش فرهنگ امنیت سایبری و تاب آوری را شناسایی کنند.

بیشتر بخوانیم:
کشتی ترکیه آبهای مورد اختلاف را در شرق مدیترانه ترک می کند

آندری اونوفرنکو / گتی ایماژ

در طول دهه گذشته ، رهبران مشاغل مجبور شده اند با یک حقیقت ناخوشایند مواجه شوند: نشستن در راس یک شرکت و تهدید نکردن به خطرات سایبری غیرممکن شده است. حملات سایبری به طور فزاینده ای شیوع یافته و می تواند تهدیدات نیمه وجودی را برای مشاغل ایجاد کند و هیئت مدیره و مدیران به روشهایی برای ارزیابی آنها نیاز دارند ، حتی اگر آنها نتوانند جزئیات فنی را درک کنند. این امر تقاضا برای اندازه گیری ریسک الکترونیکی را چه در داخل شرکت ها و چه در میان سهامداران خارجی افزایش داده است.

در حالی که روشهایی برای اندازه گیری ریسکهای الکترونیکی در سالهای اخیر تکامل یافته است ، بخشی از تلاش آژانسهای رتبه بندی اعتبار ، سرمایه گذاران و شرکت های بیمه.، هیچ چیز نمی تواند جایگزین تصمیم گیری آگاهانه در سطح اجرایی شود. به عنوان کارشناسان امنیت سایبری ، ما معتقدیم که زمان آن فرا رسیده است که نه تنها نتایج بر اساس ارزیابی شخص ثالث تهیه شود بلکه ارزیابی های جامعی که تجزیه و تحلیل فنی ، حکمرانی ، فرهنگ و تأثیر مالی رویدادهای منفی سایبری را در نظر بگیرد ، فرا رسیده است. چنین ارزیابی هایی باید به ابزاری لازم و قدرتمند برای مدیران شرکت تبدیل شود که – اگر در تفسیر آنها به درستی آموزش ببینند – می توانند از آنها برای درک مواجهه سازمان خود با آسیب پذیری های فناوری استفاده کنند.

سواد در زمینه ریسک سایبری به این معنی نیست که همه مدیران اجرایی باید متخصص فنی شوند. معنی این امر این است که آنها باید بتوانند تحمل شرکتهای خود در برابر خطرات سایبری را نشان دهند ، مهمترین نتایج را در جهت هدایت سرمایه گذاری در امنیت سایبری و توانایی پرورش فرهنگ امنیت سایبری و انعطاف پذیری را شناسایی کنند.

ارزیابی الکترونیکی ریسک کاری را انجام می دهد (و به شما نمی گوید)

در ابتدایی ترین سطح خود ، ارزیابی ریسک سایبری شخص ثالث نشان می دهد که این شرکت تا چه اندازه از دفاعی طراحی شده برای محافظت از آن در برابر هرگونه حمله سایبری ، اعم از ایجاد اختلال در محصولات و خدمات ، نقض اطلاعات محرمانه یا تقلب ، استفاده می کند. رانده شده توسط یک حمله سایبری. این رتبه بندی همچنین میزان آمادگی یک شرکت برای دفاع و بازیابی از چنین حملاتی – انعطاف پذیری سایبری خود را ارزیابی می کند. این یکی از م criticalلفه های مهم استراتژی ERM گسترده تر آن است. خطرات ضعف در انعطاف پذیری سایبری کاملاً واضح است: مدیران شاهد جریان مداوم اخبار دسترسی به شبکه برای فروش ، ایجاد اختلال در تولید گیاهان و در نتیجه از دست رفتن درآمد ، سیم کشی های بانکی متقلبانه و نقض حریم خصوصی مشتری هستند که همگی آسیب دائمی به اعتبار شرکت قربانی وارد می کنند.

در طول دهه گذشته ، وظیفه درک و اندازه گیری خطرات سایبری در درجه اول به عهده مسئول ارشد امنیت اطلاعات (CISO) و تیم های آنها بوده است که در وهله اول به جنبه فنی این مسئله پرداخته اند. آنها هنگام ارزیابی خود ، تمرکز خود را بر روی تعداد حملات گذشته ، تأثیر آنها و سرعت بهبود آنها متمرکز کردند. به طور خلاصه هدف آنها ارزیابی دفاع های موجود بود. مشکل این رویکرد این است که خیلی عقب به نظر می رسد. ارزیابی ها گاهی اوقات شامل نگاه کردن به سیستم های یک شرکت در معرض اینترنت به عنوان حمله کننده است و تلاش برای تعیین میزان آسیب پذیری این سیستم ها در برابر حمله. مشكل این رویكرد این است كه معمولاً چند لایه دفاعی را كه ممكن است سازمانها داشته باشند در نظر نمی گیرد ، از جمله تلاش برای فریب عمدی هكرهایی كه قصد مطالعه نقاط ضعف سازمان را دارند ، و بنابراین می تواند نمای باریك تری از خطر را منعكس كند.

با این حال ، مهمترین محدودیت این دو روش این است که آنها تصمیمات مربوط به امنیت سایبری را از مشاغلی که قرار است در آن خدمت کنند جدا می کنند. اگرچه ارزیابی های فنی ممکن است برای نیازهای CISO مناسب باشد ، اما آنچه در واقع هیئت مدیره به آن نیاز دارد را ارائه نمی دهد: یک دیدگاه ریسک محور ، جامع و مستند از شرکت که پیامدهای مالی و تجاری امنیت سایبری (یا ناامنی سایبری) را در یک شرکت خاص در نظر می گیرد. علاوه بر این ، گزارش های فنی ویژگی های از قبیل حاکمیت ، فرهنگ ، شیوه های تصمیم گیری یا برخورد وسیع تر با مشخصات و خواسته های ریسک سایبری شرکت را به خوبی درک نمی کند ، همه اعضای هیئت مدیره و مدیران بازرگانی باید درک کنند که آیا آنها انتظار دارند آنها را مطلع کنند یا خیر. تصمیم گیری در مورد تخصیص سرمایه برای بهبود دفاعی الکترونیکی به جای سرمایه گذاری در زمینه های دیگر کسب و کار.

چگونه می توان بررسی لازم را انجام داد

برای اینکه ارزیابی برای مدیران با توانایی استراتژیک مفید باشد ، هیئت مدیره باید در مورد الزامات خود روشن باشد – این بدان معنی است که باید بداند چه چیزی را درخواست می کند. مدیران باید به جای پذیرش نمره به ارزش اسمی ، یا حتی ارزیابی کیفی از مدیران فنی یا حسابرسان شرکت ، یک ارزیابی جامع درخواست کنند: ارزیابی که فراتر از جزئیات فنی باشد و شامل یک دیدگاه خارجی و داخلی باشد. در عین حال ، مدیران امنیت سایبری باید با همکاری رهبران ارشد و هیئت مدیره خود زمینه را فراهم کنند و از ارزیابی به عنوان ابزاری برای اشتراک دانش مورد نیاز هیئت مدیره برای نظارت موثر استفاده کنند. هنگامی که به این روش ارائه می شود – توسط یک مشاور معتمد جمع آوری و به اشتراک گذاشته می شود – اطلاعات الکترونیکی ریسک را می توان در برابر سایر خطرات تجاری قرار داد و به همین ترتیب در برابر فرصتهای خاص استراتژیک متعادل شد. این به نتایج مطلوب منجر نمی شود ، اما درک شرکت ها از خطرات سایبری خود را تا حد زیادی بهبود می بخشد و با تکامل روش ها ، مسیری روشن برای توسعه نظارت را فراهم می کند.

این در عمل چگونه است؟ برای تصمیم گیری مناسب ، مدیران باید بدانند که “خوب” در مشخصات کلی خطر اینترنتی آنها به چه معناست و یک ارزیابی جامع واقعاً شامل چیست (تجزیه و تحلیل ضرر داخلی ، خارجی ، معیار). علاوه بر این ، آنها باید انتظاراتی را برای نتایج منطبق با اهداف شرکت تعیین کنند. تعریف “خوب” از شرکتی به شرکت دیگر متفاوت است. خوشبختانه ، این بدان معناست که مدیران می توانند کارهای زیادی را انجام دهند تا اطمینان حاصل شود که م blocksلفه های سازنده موجود هستند تا با بلوغ روش های ارزیابی و ارزیابی سایبری ، شرکت آنها بتواند نتایج درستی را ارائه دهد.

تمایل خود به خطر را تعیین کنید: اولین چیزی که مدیران باید از آن آگاه باشند این است که هیئت مدیره باید میزان پذیری شرکت را در مورد ریسک در رابطه با حوادث الکترونیکی زیان دقیقاً مانند سایر خطرات تشخیص دهد. پس از درک درستی از موضوع و انواع ریسک هایی که شرکت با آن روبرو است ، هیئت مدیره متوجه خواهد شد که امنیت سایبری “ایده آل” قابل دستیابی نیست. در عوض ، ما قدردانی خواهیم کرد که ارزیابی خطرات الکترونیکی – و در نظر گرفتن هر ارزیابی الکترونیکی – نیاز به بررسی دقیق حداقل دو سوال اصلی دارد: 1) مشتریان ما از ما چه انتظاری دارند؟ و 2) شرکت های همکار چگونه با این خطرات کنار می آیند؟

تمرکز بر نتایج: رهبران به جای اینکه مستقیماً به ارزیابی مقایسه بپردازند ، باید بر روی نتایجی که در تلاشند به دست آورند تمرکز کنند. نتیجه درست ترکیبی از ریسک پذیری سازمان ، سرمایه گذاری گذشته و آینده در امنیت سایبری و انتظارات مشتریان ، سهامداران و حتی تنظیم کنندگان آن است. هیچ کس انتظار ندارد که یک خرده فروش در واقع همان نرم افزار امنیت سایبری و دفاعی یک بانک یا سازنده سخت افزار نظامی را داشته باشد. (مورد یک شرکت حقوقی را در نظر بگیرید ، که در مورد تخطی از داده های مشتری خصوصی بسیار نگران است ، در مقایسه با یک مرکز برق ، که باید نگرانی زیادی در مورد قطع خدمات داشته باشد.) به همین ترتیب ، هیئت مدیره ها و رهبران مشاغل باید با تعیین میزان تمایل به ریسک و اقدام ، انتظارات خود را تنظیم کنند. با سرمایه گذاری در امنیت سایبری برای مطابقت با مشخصات صنعت آنها. پس از اتخاذ تصمیمی ، هیئت مدیره باید استانداردها و اهداف داخلی را تعیین کند و مدیریت را برای پاسخگویی به آنها پاسخگو باشد.

فرهنگ امنیت سایبری و انعطاف پذیری را در خود جای دهید: حکمرانی و فرهنگ در ارزیابی ریسک سایبری نقش مهمی دارند. هیئت مدیره باید بر نقش خود در اطمینان از اهمیت بالای این جنبه های برنامه امنیت سایبری یک شرکت تأکید کنند. در حالی که در حال حاضر روشهای مختلفی برای اندازه گیری خطر سایبری وجود دارد ، نمره مناسب همیشه با فرهنگ مناسب شروع می شود. حتی با تغییر معیارها ، فرهنگ محرک همه جنبه های تاب آوری الکترونیکی است که می توان اندازه گرفت – بهبود فرایندهای فنی که منجر به بهبود نتایج خارجی می شود ، مشارکت مدیریت در اینترنت نسبت به ابتکارات تجاری و مشارکت هیئت مدیره در اطمینان از پاسخگویی در اهداف. فرهنگ همچنین از این جهت مهم است که شاخص های آن در طول زمان کمتر از اندازه گیری فناوری که با تغییر روند محاسبات تغییر می کنند ، نوسان می کنند. به عنوان مثال ، اندازه گیری امنیت سایبری در یک مرکز داده با اندازه گیری امنیت سایبری در ابر تفاوت معناداری دارد ، اما جنبه های فرهنگی این که آیا این محیط ها با اثربخشی مشابهی مدیریت می شوند ، متفاوت است.

***

از آنجا که بازار ارزیابی های امنیت سایبری بیشتر به رتبه بندی جامع امنیت سایبری تبدیل شده است ، مدیران و رهبران مشاغل باید توجه دقیق داشته باشند تا اطمینان حاصل کنند که اندازه گیری های اساسی یک استاندارد مقایسه ای واقعی ، بررسی کافی تعادل بین اقدامات داخلی و خارجی و بررسی دقیق فن آوری ، حاکمیت و جنبه های فرهنگی سازمان را ارائه می دهند. برای دستیابی به این مهم ، شفافیت در روش های مورد استفاده برای ارزیابی خطرات حیاتی است. اما همچنین برای سازمانها بسیار مهم است که اشتهای مخاطرات سایبری را به درستی شناسایی و مدیریت کنند ، و درک کنند که دامنه پیامدهای مالی ممکن است رویدادهای سایبری قابل اجرا بر شرکت داشته باشد و همچنین نقشی که حاکمیت خوب و آگاهانه در کاهش آنها دارد.


منبع: بادرود نیوز

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *