4 принципа за киберсигурност за 5 пъти повече резултати

За да стане киберсигурността приоритет за цялата компания, тя първо трябва да е приоритет на мениджмънта. Изпълнителните директори и директорите по сигурност на информацията осъзнават това. За да се подобри връзката между експертите по киберсигурност и бизнес лидерите обаче, те трябва да разберат, че това е двустранен процес. Задължение на експертите по киберсигурност е да намерят правилния начин за комуникация с организацията и да представят данните така, че ръководителите да могат да вземат информирани решения. Ефективната работа не е задължително обвързана само с висок бюджет и подкрепа от мениджмънта.

От друга страна, бизнес лидерите трябва да осъзнаят ролята и отговорността си относно киберсигурността. Те трябва да задават правилните въпроси и изискват необходимата информация, да са наясно с целите на компанията и да ги съпоставят с рисковете и заплахите. Един от най-важните елементи от успешната стратегия за киберсигурност е възприятието на висшето ръководство за тази функция. Докато гледаме на киберсигурността като на "необходимо зло", няма да имаме добри резултати, тъй като това възприятие се предава към останалите служители. Киберсигурността трябва да е част от бизнес стратегията и целите, за да се гарантира, че ще бъде имплементирана навсякъде. Резултатите от проучването на PwC показват, че се работи в тази посока, но има още какво да се постигне.

People (хора)

Назначете лидер и оставете директорът по сигурността на информацията и екипите по сигурността да се свържат със служителите. Колко сложна е киберсигурността всъщност? Това е въпрос, който много хора, които не са част от този бизнес, си задават много често, а стандартният отговор на консултанта е: зависи. :)

Истината е, че зависи от начина, по който гледате на нея. Един от начините да усложните дейностите по киберсигурност и поверителност е да се опитате да разделите отговорностите на различни хора в организацията, без да има общи възгледи и стратегия. Ето защо ролята на директора по сигурността на информацията в организацията е изключително важна. Той трябва да преведе бизнес посоката във възможно най-разбираемата, ефективна и интегрирана стратегия за киберсигурност, която дава увереност на бизнеса да продължи напред и да засилва възможностите му. Резултатите от проучването на PwC показват амбицията на организациите да инвестират в киберсигурност, което в крайна сметка е предимно инвестиция в хора. Сега е моментът тази амбиция да бъде насочена в правилната посока.

Prioritisation (приоритизиране)

С нарастването на дигиталните амбиции рисковете се променят постоянно. Докато организациите се фокусират върху текущите си проблеми и дигитализацията, те все по-трудно следят приоритетите си и доминиращите киберрискове в съответната среда. Методите на хакерите варират спрямо организациите, технологиите, активите и служителите. Ресурсите на предприятието почти винаги са ограничени и се използват за финансиране и на други рискове. Затова управлението на киберрисковете на всички нива трябва да бъде координирано и приоритизирано, за да се постигне максимална ефективност и да се гарантира, че и най-критичните нужди са адекватно адресирани.

Приоритизирането, реакцията и агрегирането на риска трябва да бъдат обобщени и оптимизирани, за да помогнат в насочването на комуникацията, свързана с рисковете в предприятието и вземането на решения. За да може киберрискът да бъде оценен и идентифициран адекватно, е от съществено значение да бъде приложен подходът за приоритизиране на риска. Това ще даде възможност на организациите да приоритизират най-важните рискове за тяхната среда и да насочат именно натам усилията си. Резултатите от проучването на PwC показват, че бизнес лидерите искат да премерят киберрисковете в непрекъснато променящата се среда, но за да бъде това ефективно, са необходими допълнителни усилия.

Perception (възприятие)

Не може да защитите това, което не може да видите. Открийте слабото място във вашите бизнес взаимоотношения и вериги на доставките. Ключов елемент в изграждането на силна среда за киберсигурност е способността заплахите да се предвидят, преди да станат факт. Докато организациите се стремят да се справят с рисковете, свързани с дигитализацията и по-високата свързаност, те често пренебрегват скритите заплахи, които носят отношенията с други организации и институции. При управление на киберрисковете, свързани с трети страни, организациите трябва да предприемат подход за комуникация, основаващ се на нулево доверие. Какво значи това?

Подобни киберрискове се управляват чрез due diligence - надлежна проверка на третите страни, в резултат на която да се оформят договорните споразумения. Периодичните оценки, базирани на риска, трябва да се извършват въз основа на договорните споразумения, променящите се заплахи, както и най-добрите практики и стандарти в индустрията. Това ще позволи на организациите да оптимизират използването на ресурсите си, за да управляват ефективно и непрекъснато тези рискове.

Резултатите от проучването на PwC показват, че бизнес лидерите по целия свят трябва да извървят дълъг път, докато разберат кибер рисковете, които трети страни биха могли да носят.