A cibersegurança nunca esteve tão visível nas empresas. O grande número de histórias sobre hacks que afetam as empresas colocou isso na agenda, enquanto o Requisitos da Comissão de Valores Mobiliários sobre relatórios de segurança cibernética forçará outros a melhorar sua posição também. O impacto aqui significa que os conselhos de administração estão mais propensos do que nunca a incluir o CISO ou equivalente.
De acordo com Heidrick e Struggles' 2022 Pesquisa do diretor de segurança da informação, os CISOs já são ouvidos pelo conselho — 88% apresentam mensalmente suas atividades ao conselho completo ou a um comitê do conselho de segurança cibernética.
Então, como profissionais de cibersegurança, deveríamos ter alcançado aquela terra prometida onde nossa influência é sentida e podemos alcançar os objetivos que queremos alcançar, certo? Errado. Como um cachorro que perseguiu um carro, agora o pegamos e devemos descobrir exatamente o que vamos conseguir com a responsabilidade resultante. A verdade é que o trabalho duro está apenas começando.
Ação, não palavras
Não é o suficiente para fornecer informações sobre segurança que o tabuleiro possa entender, mesmo que seja uma habilidade por si só. O maior desafio que os CISOs enfrentam é como demonstrar que nossos processos e atualizações de segurança reduzirão o risco de maneiras mensuráveis e alcançáveis. Para aqueles de nós que lutaram para conseguir um lugar à mesa, essa resposta imediata pode parecer um retorno insatisfatório de todo esse investimento.
Os conselhos estão preocupados com riscos e responsabilidades, então sua abordagem deve concentre-se no risco, probabilidade e mitigações. Essa ênfase na ação pode ser um estímulo tremendo para fazer mudanças em sua abordagem. Isso também pode ser uma oportunidade para ver como obter mais do básico em toda a sua operação. Rastrear áreas como gerenciamento de ativos e correções pode não ser relevante para os relatórios do conselho, mas melhorar esses processos usando automação e IA pode levar a melhorias significativas.
Por exemplo, obter mais suporte do conselho pode oferecer a oportunidade de adotar essa abordagem de “folha de papel em branco” para o planejamento e processo de segurança, usando autoridade do conselho para forçar atualizações ou novas formas de trabalhar. No entanto, para a maioria das empresas estabelecidas, essa abordagem pode não ser possível. A maioria das organizações considera que será violada ao articular sua postura de segurança. Eles agora precisam dar um passo adiante e aceitar que a mudança é inevitável e que alguns processos e técnicas tradicionais simplesmente não são rápidos o suficiente para acompanhar o nível e a sofisticação das ameaças atuais.
Demonstrar impacto
O segundo elemento aqui é demonstrar que suas ações estão tendo impacto. Para isso, você deve considerar se suas mudanças terão resultados imediatos ou se serão sentidas a longo prazo. Da mesma forma, você terá que entender se esses resultados representam melhorias pontuais ou oportunidades de ganhos de longo prazo, pois isso afetará a forma como você discute essas áreas com o conselho. Essa abordagem vem com um aviso – certifique-se de observar o risco. Embora os ganhos rápidos sejam bons para as relações públicas, eles nem sempre reduzem o risco, portanto, os CISOs devem fazer as duas coisas.
Para os novos na função, fazer alterações pode levar a melhorias rápidas. Por exemplo, melhorar a priorização de patches deve facilitar a correção de problemas críticos e de alto risco de segurança. Provar que esses problemas foram corrigidos dentro dos parâmetros acordados do contrato de nível de serviço é uma ótima maneira de demonstrar que você está gerenciando os problemas — e, portanto, os riscos — com eficiência. No entanto, seu SLA pode precisar ser alterado — por exemplo, 30 dias para corrigir problemas críticos não é suficiente. Esses dados também podem ser usados para reduzir os custos do prêmio de seguro cibernético, pois você pode demonstrar um sistema bem gerenciado e mantido ao longo do tempo.
Como parte disso, você também deve analisar como gerenciar as expectativas em relação ao desempenho de longo prazo. À medida que você melhorar, o nível de risco continuará caindo com o tempo – mas a curva será menos íngreme e os ganhos serão mais marginais. Com o tempo, o custo para melhorar o desempenho pode ser muito maior e o retorno menos visível. Este é o sinal de um programa de segurança cibernética maduro e eficaz, com forte ênfase no gerenciamento de riscos, mas levará muito tempo para ser alcançado. Definindo expectativas sobre desempenho e risco cedo, portanto, ajudará a obter o espaço para respirar de que você precisa para continuar a agir.
Tome a iniciativa
Obter a atenção do conselho é um objetivo que muitos CISOs têm, pois faz parte de sua jornada de carreira e os coloca em uma boa posição para cargos futuros. Isso enfatiza o que você está fazendo e como suas prioridades estão sendo realizadas. De acordo com um CISO com quem conversei sobre relatórios do conselho, é semelhante à famosa citação de Oscar Wilde: “A única coisa pior do que ser falado é não ser falado”. Agir é a melhor abordagem para mostrar que você merece essa atenção.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Automotivo / EVs, Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- ChartPrime. Eleve seu jogo de negociação com ChartPrime. Acesse aqui.
- BlockOffsets. Modernizando a Propriedade de Compensação Ambiental. Acesse aqui.
- Fonte: https://www.darkreading.com/risk/boards-dont-want-security-promises-they-want-action
- :tem
- :é
- :não
- :onde
- $UP
- 2022
- 30
- a
- Sobre
- ACEITAR
- Segundo
- Alcançar
- em
- Açao Social
- ações
- atividades
- afetar
- afetando
- agenda
- concordaram
- Acordo
- AI
- Todos os Produtos
- já
- tb
- sempre
- an
- e
- abordagem
- SOMOS
- áreas
- por aí
- AS
- ativo
- gestão de activos
- At
- por WhatsApp.
- Automação
- fundamentos básicos
- BE
- sido
- Começo
- ser
- MELHOR
- O maior
- borda
- ambos
- respiração
- negócios
- mas a
- by
- CAN
- carro
- Oportunidades
- transportado
- transportar
- apanhados
- desafiar
- alterar
- Alterações
- CISO
- vem
- de referência
- comitê
- Empresas
- preocupado
- Considerar
- continuar
- Custo
- custos
- crítico
- Atual
- curva
- Cíber segurança
- dados,
- dias
- demonstrar
- discutir
- do
- Cachorro
- fazer
- don
- Cair
- Cedo
- mais fácil
- Eficaz
- efetivamente
- elemento
- ênfase
- suficiente
- igualmente
- Equivalente
- estabelecido
- Éter (ETH)
- Mesmo
- SEMPRE
- exatamente
- exemplo
- exchange
- Comissão de Intercâmbio
- expectativas
- Rosto
- famoso
- RÁPIDO
- fixado
- Escolha
- força
- cheio
- mais distante
- futuro
- Ganhos
- ter
- obtendo
- Go
- Objetivos
- vai
- Bom estado, com sinais de uso
- ótimo
- hacks
- Queijos duros
- trabalho duro
- Ter
- ter
- ajudar
- SUA PARTICIPAÇÃO FAZ A DIFERENÇA
- superior
- Como funciona o dobrador de carta de canal
- Como Negociar
- Contudo
- HTTPS
- i
- Imediato
- Impacto
- melhorar
- melhorias
- melhorar
- in
- incluir
- inevitável
- influência
- INFORMAÇÕES
- segurança da informação
- introspecção
- instância
- investimento
- isn
- questões
- IT
- ESTÁ
- viagem
- jpg
- Guarda
- Terreno
- conduzir
- menos
- Nível
- passivo
- como
- probabilidade
- Provável
- longo
- muito tempo
- longo prazo
- olhar
- fazer
- Fazendo
- gerencia
- de grupos
- gestão
- muitos
- maduro
- Posso..
- significa
- poder
- mensal
- mais
- a maioria
- muito
- devo
- você merece...
- nunca
- Novo
- agora
- número
- objetivo
- of
- Oficial
- on
- ONE
- só
- operação
- oportunidades
- Oportunidade
- or
- organizações
- oscar
- Outros
- A Nossa
- Fora
- Acima de
- próprio
- Papel
- parâmetros
- parte
- Patches
- Patching
- atuação
- planejamento
- platão
- Inteligência de Dados Platão
- PlatãoData
- pobre
- posição
- possível
- Premium
- presente
- priorização
- processo
- processos
- Agenda
- prometido
- promessas
- fornecer
- público
- Relações públicas
- empurrado
- Coloca
- Links
- citar
- alcançado
- reduzir
- relações
- relevante
- Relatórios
- representar
- resposta
- responsabilidade
- resultando
- Resultados
- retorno
- certo
- Risco
- gestão de risco
- Tipo
- papéis
- Quarto
- s
- SEC
- Segundo
- segurança
- parecem
- folha
- rede de apoio social
- mostrar
- assinar
- periodo
- semelhante
- simplesmente
- habilidade
- So
- alguns
- sofisticação
- Passo
- Histórias
- mais forte,
- Lutas
- tal
- ajuda
- certo
- .
- T
- mesa
- Tire
- tomar
- técnicas
- prazo
- do que
- que
- A
- O Básico
- deles
- Eles
- assim sendo
- Este
- deles
- coisa
- isto
- aqueles
- Apesar?
- ameaças
- tempo
- para
- também
- Rastreamento
- tradicional
- tremendo
- Verdade
- compreender
- Atualizações
- us
- usava
- utilização
- visível
- queremos
- aviso
- Caminho..
- maneiras
- we
- O Quê
- quando
- se
- enquanto
- QUEM
- precisarão
- Vitórias
- de
- dentro
- Atividades:
- exercite-se
- trabalhar
- pior
- Errado
- Você
- investimentos
- zefirnet