Вторник, 2 марта, 13:31
дома бизнеса Убедитесь, что команды по кибербезопасности помогают вашему бизнесу

Убедитесь, что команды по кибербезопасности помогают вашему бизнесу

Бизнес-лидерам необходимо переосмыслить то, как они работают с командами по кибербезопасности. Руководители задают правильные вопросы и понимают ли, как работают программы кибербезопасности?

Контроль за программами кибербезопасности, будь то на уровне совета директоров или на уровне руководства, всегда был сложной задачей. Типичные вопросы, которые задают менеджеры, варьируются от общего вопроса «Безопасны ли мы?» на более подробные вопросы об измерениях, например «Сколько уязвимости Вы исправили предыдущий квартал? » Ответы на эти вопросы, возможно, не помогут выявить истинную эффективность программы. Вопросы такого типа часто сигнализируют об отсутствии понимания того, как работают группы по кибербезопасности, и о том, как кибербезопасность действительно может помочь развитию бизнеса.

информационная безопасность

Были предприняты усилия, чтобы помочь руководителям задавать правильные вопросы руководителям групп по кибербезопасности, чтобы повысить их эффективность. Национальная ассоциация корпоративных директоров (NACD) дала отличные рекомендации о том, какие вопросы задавать и какие. подходы Руководители бизнеса должны последовать их примеру, чтобы максимально использовать возможности команды безопасности.

Измените образ мыслей о наблюдении за кибербезопасностью

Специалисты по информационной безопасности (CISO) должны нести ответственность за большинство своих обязанностей в отношении риска киберугроз. Когда мы думаем о призме традиционной модели SWOT (Сильные и слабые стороны, возможности и угрозы) наблюдение за кибербезопасностью обычно затрагивает слабые стороны и угрозы уравнения. CISO обычно большие степень разобраться с ними секторов для решения проблем, которые могут помешать бизнесу достичь своих целей. Однако оставаясь только на слабые стороны и угрозы, безопасность в киберпространстве становится скорее программой безопасности, чем потенциальным руководством по развитию.

Хотя думать об угрозах и слабостях с точки зрения надзора и управления рисками не является неправильным, обычно это приводит к финансовым диалогам, которые напоминают дискуссии о покупке страховых полисов. Такие вопросы, как «Какой процент этого бюджет должны быть обеспечены для безопасности в киберпространство; » используется для принятия решений, например, по бюджету. Это похоже на установку цены страхового покрытия для вашего бизнеса или σπίτι исходя из его стоимости. На самом деле обсуждение должно быть намного шире, потому что в противном случае упускаются сильные стороны и возможности уравнения.

Изменение мышления, чтобы сосредоточиться на сильных сторонах и возможностях, полностью меняет смысл диалога и возможные результаты. Конечно, кибербезопасность и управление рисками используются для защиты бизнеса от уязвимостей и угроз, но что, если есть способы, которыми группы по кибербезопасности могут определить сильные стороны и возможности? Есть ли области бизнеса, на которых в настоящее время не сосредоточены службы безопасности? Вполне возможно, что у директора по информационной безопасности, работающего в рамках всего бизнеса, появятся новые идеи, которые помогут бизнесу.

Новые задачи

На любом собрании цель - уйти с новой информацией и новыми инструкциями по надзору и процедурам утверждения. Директорам по информационной безопасности необходимо научить думать о своей работе с точки зрения улучшения компаний и их вклада в общие бизнес-цели, создания возможностей и возможностей.

Лучшим примером этого является ситуация, когда безопасность «перекладывается» на изменение управления производительностью на ранних этапах. В процессе разработки разработчиков лучше исправить их проблемы во время создания, а не ждать, чтобы попробовать конечный продукт. Последний подход особенно раздражает разработчиков, которым нужно прекратить работу, чтобы остановить и исправить проблемы во время процесс. Традиционные KPI (ключевые показатели эффективности) в процессе разработки включают такие измерения, как уменьшение количества уязвимостей или дефекты, так как теперь они будут расположены в процессе. Хотя это эффективная мера кибербезопасности, она не делает акцента на бизнесе. воздействие.

Реальный эффект этой тактики заключается в том, что меньшее количество дефектов означает повышение производительности для разработчиков, меньше отредактированный код, более быстрые выпуски продукты и более быстрое получение дохода от новых функций и продуктов. Дополнительным преимуществом может стать повышенная осведомленность разработчиков о том, как писать безопасный код. Эта новая мощность также может быть измерена, чтобы показать увеличение производительности с течением времени. времени а затем дифференцированный продукт рынок.

Предложите своим директорам по информационной безопасности подумать о способах развития бизнеса, выделить сильные стороны и изучить возможности. Вопросы, которые могут дополнять более традиционные вопросы по надзору за рисками:

  • Какие улучшения продукта мы можем сделать, чтобы выделиться на рынке?
  • Какова ваша тенденция сокращать сроки поставки поставщикам или сокращать время цикла продаж?
  • Какой процент времени команды тратят на расследование или ответы на вопросы, связанные с безопасностью? Как проходит этот мониторинг во времени?

Очевидно, что вопросы будут зависеть от типа бизнеса, но его изменение склад ума и надзор CISO жизненно важный. В связи с этим сдвигом директора по информационным технологиям вынуждены смотреть дальше его стен. группа чтобы лучше понимать бизнес, тем самым создавая более продуктивные знания.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Teo Ehc
Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.

ЖИВЫЕ НОВОСТИ