في المشهد التنظيمي المتطور بسرعة اليوم ، تواجه CISO تحديات غير مسبوقة وتدقيق. من قواعد المادية في SEC إلى الحالات القانونية البارزة ، مثل Solarwinds و Clorox ، تواجه CISO بشكل متزايد المخاطر الشخصية والمهنية المتعلقة بفشل الأمن السيبراني المتصور. في الآونة الأخيرة ، Proofpoint استطلاع 1600 CISO في جميع أنحاء العالم للحصول على نبض حول كيفية تنقل CISO هذه التحديات ، وجد أن 66 ٪ قلقون بشأن المسؤولية الشخصية والمالية والقانونية في دورها. بالإضافة إلى ذلك ، أشار 72 ٪ إلى أنهم لن ينضموا إلى منظمة لم تقدم لهم تأمين المديرين والموظفين أو تغطية مماثلة لحمايتهم من المسؤولية المالية في حالة هجوم إلكتروني ناجح. بالنظر إلى هذه المخاوف المعقولة ، كيف يمكن ل CISO بناء درع من الدفاع عن حماية أنفسهم ومنظماتهم؟
إنشاء نظام للتسجيل
تتمثل الخطوة الأولى الحرجة في إنشاء CISOs والحفاظ على نظام إدارة شامل للتسجيل الذي يوثق بدقة قرارات الأمن السيبراني الرئيسية والإجراءات والتقييمات.
ابدأ بتحديد نطاق وأهداف نظام الإدارة ، بما في ذلك أنواع قرارات الأمن السيبراني والإجراءات والتقييمات للوثائق ، والتي يجب على المتطلبات التنظيمية ومعايير الصناعة الالتزام بها ، وأصحاب المصلحة الرئيسيين وأدوارها في النظام.
قد تختار CISOs تخزين نظام السجل هذا في أداة الحوكمة والمخاطر والامتثال أو نظام إدارة المستندات أو حل مخصص مصمم لتلبية الاحتياجات المحددة للمؤسسة. في أي حال ، يجب على الحل توثيق الإجراءات والقرارات والتقييمات المحددة ، ويتضمن آليات التحكم في الإصدار لتتبع التغييرات بمرور الوقت ، وإنشاء مسار تدقيق يوضح ما الذي تغير ، ولماذا.
الوفاء بواجب الرعاية
يمكن أن يثبت CISOs أنهم قاموا بواجب الرعاية من خلال تنفيذ برنامج للأمن السيبراني يتماشى مع أطر الصناعة ، مثل المعهد الوطني للمعايير والتكنولوجيا (NIST) إطار الأمن السيبراني (CSF) أو المنظمة الدولية للتوحيد (ISO) 27001 لإنشاء نهج منظم لتحديد المخاطر ومعالجتها. يجب على CISOs أيضًا إجراء تقييمات منتظمة للمخاطر ومسح الضعف لتحديد الفجوات الأمنية وتخفيفها والعمل لضمان تطوير فرقها وتوثيقها والحفاظ عليها من سياسات وإجراءات أمان قوية. قد يتم دمج هذه السياسات والإجراءات والضوابط في التدريب المستمر للتوعية بالأمن السيبراني لضمان فهم أوسع لمخاطر العمل ، بما في ذلك تلك المتعلقة بالأخطاء البشرية.
بالإضافة إلى التقييم المستمر لفعالية الضوابط والموقف الأمني العام ، يجب على CISO وفريق الأمان أن يظلوا على اطلاع دائم بمتطلبات الامتثال ذات الصلة وتلبيةها أو تتجاوزها. متطلبات SEC الأخيرة التي تتطلب الكشف عن حوادث الأمن السيبراني المادي في غضون أربعة أيام من تحديد أن حادثة الأمن السيبراني تبرز ما المادي بشكل أكبر على حاجة CISO لتنفيذ خطط الاستجابة للحوادث واستمرارية الأعمال. نظرًا لأن الجهات الفاعلة في التهديد تحولوا بسرعة التكتيكات والتقنيات ، يجب على فرق الأمن اختبار هذه الخطط وتحديثها بانتظام حتى تتمكن من الإبلاغ بسرعة وبدقة عن المادية لمثل هذه الحوادث.
توصيل القرارات الإلكترونية
الحوادث الإلكترونية بشكل متزايد تعطيل العمليات التجارية، قيادة CISOs وغيرهم من قادة الأمن السيبراني لتوصيل مخاطر الإنترنت ، واستراتيجيات التخفيف ، واحتياجات الموارد مع المديرين التنفيذيين الآخرين ومجلس الإدارة. بدلاً من التركيز على التفاصيل الفنية لمنع الخرق ونماذج التهديد المختلفة ، يجب على CISO الآن توصيل المخاطر السيبرانية من حيث أهداف العمل والتأثير. قدم تحديثات واضحة ومنتظمة لإنشاء اتصال مستمر حول برنامج الأمن السيبراني وكيف تمكن المنظمة ككل من تحقيق أهداف أعمالها. استخدم سيناريوهات العالم الحقيقي لاختبار المرونة السيبرانية والتوصيل هذه النتائج كوسيلة لجعل المخاطر المجردة أكثر وضوحًا وربطًا بأصحاب المصلحة. يسهل هذا النهج عملية اتخاذ القرارات المستنيرة ويمكّنهم من مناقشة إيجابيات وسلبيات وموصى بها في إجراءات العمل.
من خلال توظيف هذه الاستراتيجيات ، يمكن لاتصالات CISO أن يضمن أن لدى المديرين التنفيذيين وأعضاء مجلس الإدارة سياق العمل اللازم لفهم ودعم قرارات الأمن السيبراني ، سواء في العمليات اليومية أو أثناء حوادث الأمن السيبراني الحرجة. من خلال تأطير مبادرات ومخاطر الأمن السيبراني من حيث كيفية توافقها مع أهداف العمل الشاملة ودعمها ، يمكن لقيادة الأمن توصيل أسباب القرارات السيبرانية المختلفة بشكل أكثر فعالية والتأكد من أن مجلس الإدارة يفهم مخاطر العمل من حيث صلتها بتهديدات الأمن السيبراني.
درع من ثلاث طبقات من الدفاع
في عصر من الاضطرابات التنظيمية والجهات الفاعلة المتطورة على نحو متزايد ، يتم محاسبة العديد من CISO عن حوادث الأمن السيبراني التي تأثرت ماديًا – أو من المحتمل أن تؤثر – استراتيجية مؤسستهم أو عملياتها أو الاستقرار المالي. بينما تنطبق قاعدة SEC بشكل أساسي على الشركات العامة ، يشعر كل CISO بالضغط لحماية حياتهم المهنية ومنظماتهم.
بناء درع قوي من الدفاع ، بما في ذلك الطبقات الثلاث أدناه ، حماية جماعيا CISO والمؤسسة التي تخدمها:
-
نظام التسجيل أن توثق بدقة جميع جهود الأمن السيبراني
-
برنامج شامل للأمن السيبراني يتماشى مع أطر الصناعة
-
خطة اتصال قوية حول كيفية ترجمة مخاطر الإنترنت إلى أهداف وآثار عمل
من خلال تعزيز ثقافة الأمن ، والاستجابة بسرعة وبدقة أثناء الأزمات ، والتواصل الاستراتيجي حول المخاطر السيبرانية تجاه الأعمال ، فإن هذا النهج المتماسك يحصن كل من CISO والمنظمات ضد التهديدات الإلكترونية والتدقيق التنظيمي.
