Изучите пять пунктов кибербезопасности повестки дня для Совета директоров, которые CISO следует отстаивать для увеличения бюджета.
Внимание Совета директоров привлекли увеличенные бюджеты на кибербезопасность, которые CISO использовали, чтобы максимально обезопасить почти мгновенный переход к работе на дому во время COVID-19. Как и любые другие значительные бюджетные расходы, которые организация тратит на выполнение своей основной миссии, возможности и производительность группы кибербезопасности, если это не обсуждалось ранее, теперь должны быть регулярным пунктом повестки дня.
У меня есть шпаргалка с пунктами, которые можно добавить в повестку дня и которые, вероятно, могут иметь отношение к членам Совета директоров. Роль Совета как доверенного советника и корпоративного контролера применима как к кибербезопасности, так и к запуску новых продуктов.
Вот пять пунктов в произвольном порядке важности, которые нужно учитывать, когда мир начинает отправлять людей обратно в офис:
1. Кибербезопасность должна перестать быть департаментом «Нет»
У CISO тяжелая работа. Они всегда находятся всего в одном шаге от заголовков новостей, транслирующих на весь мир, как их организация стала последней жертвой киберпреступников и/или последней атаки, спонсируемой государством. Спонтанная реакция на все, что изменяет тонкий баланс относительной кибербезопасности с увеличением поверхности риска — это крик «НЕТ»!
Именно здесь атрибуты, определяющие культуру внутри компании, могут помочь Совету директоров и топ-менеджерам переориентировать департамент CISO. Их способность перейти от ответа «Нет» к ответу «Давайте разберемся, как это сделать безопасно» может проявиться, когда они будут вовлечены в обсуждение стратегических инициатив на ранней стадии, а не в конце. Дни принятия стратегических решений без стремления к обеспечению безопасности должны уйти в далекое прошлое. Регулярное взаимодействие с Советом директоров и остальной частью топ-менеджмента позволит CISO знать, что их вклад ценится и что у них есть надежные партнеры в зале заседаний.
2. Физическая безопасность имеет значение
Поскольку офисы начинают медленно заполняться людьми в масках, может стать труднее отделить сотрудника или подрядчика от других людей, у которых может не быть уважительной причины для пребывания в офисе. Если мы сможем осознать эту реальность, то можно с уверенностью предположить, что киберпреступники могут попытаться воспользоваться протоколами безопасности, которые не использовались или не тестировались в течение очень долгого времени, чтобы физически подключиться к настольному компьютеру в угловом отсеке, который был отключен на год без установки последних патчей безопасности.
Это относительно высокорисковая и недорогостоящая область внимания, за счет которой группы безопасности, оборудования и HR могут объединиться, чтобы внести необходимые образовательные и структурные изменения, которые гарантируют физическую безопасность и кибербезопасность каждого.
3. Будущее за программным обеспечением. Обнимите программиста
Если есть что-то, что стало результатом кибератаки SolarWinds, это может быть то, что безопасность приложений, которые движут цифровыми преобразованиями, и инструменты безопасности, которые помогают защитить этот цифровой ландшафт, написаны программистами, использовавшими микс из собственного проприетарного кода, открытого исходного кода и других сторонних приложений. Любой или все эти ингредиенты чреваты возможностью внесения уязвимостей в облачные приложения и контейнеры, которые являются частью цифровых преобразований организации.
Устранить некоторые из этих рисков безопасности можно, если ваши группы разработчиков уже перешли от структуры DevOps к той, которая включает методологию безопасности путем проектирования, связанную со структурой DevSecOps. Это не перекладывает принципы безопасного проектирования на разработчиков, а вместо этого переносит принципы, элементы управления и процессы безопасного кодирования в гибкие спринты, которые составляют современные группы разработчиков. Обеспечение безопасности ваших предложений внутренней разработки путем принятия подхода DevSecOps, а также обучение этих рок-звезд принципам безопасного кодирования помогут сохранить имя вашей организации от громких и ненужных заголовков в медиа.
4. Ищите, кому это выгодно
Как отмечалось в опросе IDC Security Services View в ноябре 2020 года, организации по всему миру сообщают, что расходы на безопасность составляют большую часть их ИТ-бюджета. Генеральные директора и президенты должны иметь как минимум пунктирную линию между их графой в организационной диаграмме и графой CISO. Активы, которые доверяют защищать CISO, требуют кровно заработанной валюты, чтобы оставаться в безопасности, а честные разговоры без фильтра со стороны ИТ-директора или другого высшего руководства, влезающего между, необходимы, чтобы убедиться, что верхняя часть организационной диаграммы имеет четкое представление о картине безопасности, на которую тратятся эти доллары.
5. Риск
Здесь вы начинаете читать наперед и думаете, что мы собираемся сказать, насколько важно для CISO управлять рисками и снижать их. Это ложное предположение. CISO должны сыграть важную роль в выявлении потенциально повышенного риска, который стратегические изменения в организации создают для профиля рисков.
Сегодняшние решения по безопасности — это не технические решения, это бизнес-решения, конечным результатом которых является изменение профиля рисков. Эти решения не могут приниматься в вакууме, вместо этого требуются совместные обсуждения со стороны Совета директоров, оперативного центра безопасности и различных поставщиков услуг безопасности, которые предоставляют ценные рекомендации, необходимые CISO в эти неспокойные времена.
