Οι ηγέτες των επιχειρήσεων πρέπει να επανεξετάσουν τον τρόπο με τον οποίο χειρίζονται την επίβλεψη των ομάδων cybersecurity. Οι ηγέτες κάνουν τις σωστές ερωτήσεις και κατανοούν πώς λειτουργούν τα προγράμματα cybersecurity;
Η επίβλεψη των προγραμμάτων cybersecurity, είτε σε επίπεδο διοικητικού συμβουλίου είτε σε επίπεδο ηγετικών στελεχών, ήταν πάντα πρόκληση. Οι τυπικές ερωτήσεις που θέτουν οι διευθυντές κυμαίνονται από την γενική ερώτηση, “Είμαστε ασφαλείς;” σε πιο λεπτομερείς ερωτήσεις σχετικά με τις μετρήσεις, όπως “Πόσες ευπάθειες διορθώσατε το προηγούμενο τρίμηνο;” Οι απαντήσεις σε αυτές τις ερωτήσεις μπορεί να μην βοηθήσουν να αναδειχτεί η πραγματική αποτελεσματικότητα του προγράμματος. Αυτοί οι τύποι ερωτημάτων σηματοδοτούν συχνά την έλλειψη κατανόησης σχετικά με τους τρόπους που δουλεύουν οι ομάδες cybersecurity και η έλλειψη οράματος σχετικά με το πώς η ασφάλεια στον κυβερνοχώρο μπορεί πραγματικά να βοηθήσει στην ανάπτυξη της επιχείρησης.
Έχουν γίνει προσπάθειες για να βοηθήσουν τους ηγέτες να κάνουν τις σωστές ερωτήσεις στους υπεύθυνους της ομάδας cybersecurity για να βελτιώσουν την αποτελεσματικότητα τους. Το National Association of Corporate Directors (NACD) έχει δώσει κάποιες εξαιρετικές οδηγίες σχετικά με το ποιες ερωτήσεις πρέπει να υποβληθούν και ποιες προσεγγίσεις πρέπει να ακολουθήσουν οι ηγέτες των επιχειρήσεων για να εκμεταλλευτούν στο έπακρο τις δυνατότητες των ομάδων της ομάδας ασφαλείας.
Αλλάξτε τη νοοτροπία της εποπτείας του cybersecurity
Οι υπεύθυνοι ασφαλείας πληροφοριών (CISO) πρέπει να θεωρούνται υπεύθυνοι για περισσότερες από τις ευθύνες τους σχετικά με τον κίνδυνο των απειλών του κυβερνοχώρου. Όταν σκεφτόμαστε το πρίσμα ενός παραδοσιακού μοντέλου SWOT (Strengths, Weaknesses, Opportunities and Threats), η επίβλεψη της ασφάλειας στον κυβερνοχώρο ακουμπά συνήθως τις αδυναμίες και τις απειλές της εξίσωσης. Οι CISO τείνουν σε μεγάλο βαθμό να ασχολούνται αυτούς τους τομείς για να αντιμετωπίσουν τα ζητήματα που ενδέχεται να εμποδίσουν μια επιχείρηση να επιτύχει τους στόχους της. Ωστόσο, παραμένοντας μόνο στις αδυναμίες και τις απειλές, η ασφάλεια στον κυβερνοχώρο γίνεται περισσότερο ένα πρόγραμμα ασφάλειας από έναν πιθανό οδηγό ανάπτυξης.
Αν και δεν είναι λάθος να σκεφτόμαστε τις απειλές και τις αδυναμίες από την άποψη της εποπτείας και της διαχείρισης κινδύνου, συνήθως οδηγεί σε οικονομικούς διαλόγους που μοιάζουν με συζητήσεις για την αγορά ασφαλιστικών συμβολαίων. Ερωτήσεις όπως, “Ποιο ποσοστό του budget πρέπει να διατεθεί για την ασφάλεια στον κυβερνοχώρο;” χρησιμοποιούνται για τη λήψη αποφάσεων για παράδειγμα για το budget. Αυτό είναι παρόμοιο με τον καθορισμό της τιμής της ασφαλιστικής κάλυψης για την επιχείρησή σας ή το σπίτι σας με βάση την αξία του. Η συζήτηση θα πρέπει στην πραγματικότητα να είναι πολύ πιο ευρεία, γιατί διαφορετικά παραλείπει τα δυνατά σημεία και τις ευκαιρίες της εξίσωσης.
Η αλλαγή της νοοτροπίας ώστε να επικεντρωθεί στα δυνατά σημεία και τις ευκαιρίες μεταβάλλει εντελώς το νόημα του διαλόγου και τα πιθανά αποτελέσματα. Φυσικά, η ασφάλεια στον κυβερνοχώρο και η διαχείριση κινδύνων χρησιμοποιούνται για την προστασία της επιχείρησης αντιμετωπίζοντας τις αδυναμίες και τις απειλές, αλλά τι γίνεται αν υπάρχουν τρόποι οι ομάδες του cybersecurity να εντοπίσουν πλεονεκτήματα και ευκαιρίες; Υπάρχουν τομείς της επιχείρησης στις οποίες οι ομάδες ασφαλείας δεν επικεντρώνονται επί του παρόντος; Είναι απολύτως πιθανό ένας CISO που εργάζεται σε ολόκληρη την επιχείρηση να έχει νέες ιδέες που θα βοηθήσουν την επιχείρηση.
Νέες γραμμές αμφισβήτησης
Σε οποιαδήποτε συνάντηση, ο στόχος είναι να φύγετε με νέες πληροφορίες και νέες οδηγίες για την επίβλεψη και τις διαδικασίες έγκρισης. Οι CISO πρέπει να αμφισβητηθούν για να σκεφτούν το έργο τους από την προοπτική της βελτίωσης των επιχειρήσεων και των συνεισφορών τους στους συνολικούς επιχειρηματικούς στόχους, δημιουργώντας δυνατότητες και ευκαιρίες.
Το καλύτερο παράδειγμα αυτού είναι όταν η ασφάλεια “μετατοπίζεται» στην αλλαγή του ελέγχου απόδοσης στα πρώιμα στάδια. Σε μια διαδικασία ανάπτυξης οι developers είναι καλύτερο να διορθώνουν τα προβλήματα κατά την διάρκεια της δημιουργίας αντί να περιμένουν να δοκιμάσουν ένα τελικό προϊόν. Η τελευταία προσέγγιση είναι ιδιαίτερα ενοχλητική για τους developers που πρέπει να διακόψουν την εργασία τους για να σταματήσουν και να διορθώσουν προβλήματα κατά την διάρκεια της διαδικασίας. Τα παραδοσιακά KPI (βασικοί δείκτες απόδοσης) στη διαδικασία ανάπτυξης περιλαμβάνουν μετρήσεις όπως η μείωση του αριθμού των τρωτών σημείων ή των ελαττωμάτων, καθώς τώρα θα έχουν εντοπιστεί στη διαδικασία. Αν και αυτό είναι ένα αποτελεσματικό μέτρο της ασφάλειας στον κυβερνοχώρο, δεν κάνει τίποτα για να τονίσει πραγματικά τον επιχειρηματικό αντίκτυπο.
Οι πραγματικές επιπτώσεις αυτής της τακτικής είναι ότι λιγότερα ελαττώματα σημαίνουν αυξημένη απόδοση για τους developers, λιγότερο επεξεργασμένο κώδικα, γρηγορότερες κυκλοφορίες προϊόντων και ταχύτερη λήψη εσόδων για νέες δυνατότητες και προϊόντα. Ως πρόσθετο όφελος, μια νέα δύναμη μπορεί να είναι η αυξημένη ευαισθητοποίηση των developers σχετικά με τον τρόπο σύνταξης ασφαλούς κώδικα. Αυτή η νέα ισχύς θα μπορούσε επίσης να μετρηθεί για να δείξει αυξημένη απόδοση με την πάροδο του χρόνου και στη συνέχεια ένα διαφοροποιημένο προϊόν στην αγορά.
Προκαλέστε τους CISO σας να σκεφτούν πώς να βρίσκουν τρόπος για να αναπτυχθεί η επιχείρηση, να επισημάνουν τα δυνατά σημεία και να διερευνούν τις ευκαιρίες. Ερωτήσεις που μπορεί να συμπληρώνουν πιο παραδοσιακές ερωτήσεις εποπτείας κινδύνου είναι οι παρακάτω:
- Ποιες βελτιώσεις προϊόντων μπορούμε να κάνουμε για να μας διαφοροποιήσουν στην αγορά;
- Ποια είναι η τάση σας για μείωση των χρόνων παράδωσης των προμηθευτών ή την μείωση της διάρκειας του κύκλου πωλήσεων;
- Ποιο ποσοστό χρόνου αφιερώνουν οι ομάδες για διερεύνηση ή απάντηση σε ζητήματα που σχετίζονται με την ασφάλεια; Πώς είναι αυτή η παρακολούθηση με την πάροδο του χρόνου;
Προφανώς, οι ερωτήσεις θα εξαρτώνται από τον τύπο της επιχείρησης, αλλά η αλλαγή της νοοτροπίας και της εποπτείας των CISO είναι ζωτικής σημασίας. Με αυτήν τη μετατόπιση, οι CISO αναγκάζονται να κοιτάξουν έξω από τα τείχη της ομάδας τους, να κατανοήσουν καλύτερα την επιχείρηση, δημιουργώντας έτσι πιο παραγωγικές γνώσεις.
