افسران ارشد امنیت اطلاعات (CISOs) نقش مهمی در حفاظت از دارایی های دیجیتالی سازمان ایفا می کنند. زیرساخت فناوری اطلاعات در برابر چشم انداز پیچیده تر تهدیدات سایبری. آنها نه تنها مسئول توسعه برنامههای امنیت سایبری یک سازمان هستند، بلکه باید به طور مداوم ایدههای جدید را به هیئت مدیره ارائه دهند، که اغلب فاقد درک فنی یک CISO یا سایر نقشهای سطح بالای فناوری اطلاعات هستند. CISO ها نباید اجازه دهند چرخه بودجه از بین برود و فرصتی حیاتی برای دستیابی به ابزارهای لازم برای تقویت امنیت سازمان خود را از دست بدهند.
دادههای YL Ventures نشان میدهد که بیش از نیمی از بودجههای CISO در حال کاهش یا بدون تغییر هستند، و این امر برای CISOها ضروریتر است که بودجههای سایبری خود را برای هیئت مدیره توجیه کنند. این امر مستلزم آن است که آنها به طور مؤثر تأثیر مالی نقض های احتمالی را به اشتراک بگذارند و اهمیت آنها را نشان دهند. امنیت سایبری مداخله، ریسک و بازده بالقوه سرمایه گذاری های حفاظتی در مقایسه با زیان های سنگین مرتبط با نقض.
فرآیند پیشبینی برای سال تجاری نزدیک در درجه اول ماهها قبل تعیین میشود – ایدهآل قبل از پایان سه ماهه سوم. توسعه زودهنگام یک چارچوب بودجه، دید بهتری از سرمایهگذاریهایی که در سال آینده امکانپذیر است، و تخصیص باارزشتر به دست میدهد.
رمزگشایی امنیت سایبری برای رهبران کسب و کار
راه حل های امنیت سایبری و فناوری اطلاعات بسیار فنی هستند و CISO ها باید مزایای سرمایه گذاری در این راه حل ها و اینکه چگونه اهداف امنیت سایبری با اهداف کلی کسب و کار سازمان همسو می شوند را بیان کنند.
در اینجا برای CISO مهم است که به زبان تجارت صحبت کند و به عنوان یک ارتباط دهنده به تصویر کشیده شود، نه یک برنامه ریز یا یک فن. با برجسته کردن اینکه چگونه اقدامات امنیت سایبری قوی می تواند از رشد درآمد، حفظ مشتری و شهرت برند حمایت کند، می توانند به هیئت مدیره کمک کنند تا تشخیص دهد که امنیت سایبری فقط یک نگرانی فنی نیست، بلکه یک ضرورت استراتژیک است.
CISOها به فهرستی از اقلام تکمیلی که در شرایط خاص درخواست میشوند، بهراحتی قابل دسترسی و مستند نیاز دارند. این به آنها امکان می دهد تا اطلاعات بیشتری در مورد فرصت های هزینه برای هیئت مدیره یا مدیران عامل شرکت ها ارائه دهند، به ویژه با توجه به رویدادهایی مانند بادهای خورشیدی یا هشدارهای CISA Shields Up. موارد موجود در فهرست باید به طور کامل توجیه و توضیح داده شود تا شفافیت و پاسخگویی تضمین شود.
ارائه مفاهیم و راهحلهای امنیت سایبری با توجه به اولویتها و نگرانیهای اعضای هیئتمدیره به پر کردن شکاف بین کارشناسان فنی و تصمیمگیرندگان کمک میکند. به همین دلیل است که CISO باید بیش از ارائه ساده انجام دهد. آنها ابتدا باید گوش دهند و یاد بگیرند تا سایر ذینفعان اطمینان داشته باشند که CISO راه حل هایی را پیشنهاد می کند که خطرات پیش روی شرکت را برطرف می کند.
کمی کردن خطرات و نشان دادن حقیقت در امنیت
CISO ها می توانند با ارزیابی تأثیر بالقوه نقض، ارزش قابل اندازه گیری را به سرمایه گذاری های امنیت سایبری اختصاص دهند. به جای ارائه یک سناریوی مبهم و فاجعه آمیز، شناسایی مناطق خاصی از آسیب پذیری و خطرات احتمالی آنها موثرتر است. از طریق ارزیابی جامع ریسک و دیدگاه استراتژی کاهش، با پشتوانه تحقیقات، CISOها می توانند تهدیدات سایبری مختلفی را که سازمان مستعد آن است، شناسایی و بیان کند، همراه با تخمین زیان های مالی و اعتباری بالقوه که ممکن است در نتیجه نقض شود.
دو راه اصلی برای کاهش ریسک کلی وجود دارد: مدیریت احتمال وقوع یک رویداد یا مدیریت پیامدهای یک رویداد. اقداماتی مانند تشخیص و پیشگیری می تواند به کاهش احتمال وقوع یک رویداد در حین داشتن بیمه کمک کند. پشتیبان گیری ابریو طرح های واکنش به حادثه می تواند به به حداقل رساندن تأثیر یک رویداد کمک کند.
استفاده از دادهها و روندهای صنعت برای پشتیبانگیری از ارزیابی، تصویر واضحتری از «چرا» و ضرورت حفاظت سایبری ارائه میکند. دادههای جدید ExtraHop نشان میدهد که شرکتهای دولتی که با نقض دادهها مواجه میشوند، میتوانند قیمت سهام خود را در سال بعد از حادثه به طور میانگین نزدیک به ۹ درصد کاهش دهند. این شرکتها همچنین کاهش متوسط ۷۳ درصدی درآمد خالص را گزارش میکنند که نشاندهنده طول عمر و عواقب گسترده نقض نه تنها بر سازمان، بلکه بر مشتریان و سهامداران نیز است.
با بیان اینکه چگونه حوادث سایبری میتوانند عملکردها را مختل کنند، باعث از کار افتادن و خسارات مالی شوند، CISO میتوانند تاکید کنند که امنیت سایبری محافظت از آن است. داده ها و حفظ شهرت برند سازمان و توانایی عملکرد بدون اصطکاک. با اجرای کنترلهایی که انعطافپذیری سیستم را در برابر اختلالات تضمین میکند، CISO میتواند ریسک شهرت را به حداقل برساند و در دسترس بودن سیستم را به حداکثر برساند.
موفقیت و بازگشت سرمایه را نشان دهید
جریمه های قانونی و اقدامات قانونی ناشی از نقض داده ها می تواند عواقب مالی قابل توجهی داشته باشد. با نشان دادن اینکه چگونه سرمایه گذاری در امنیت سایبری می تواند به سازمان کمک کند تا از چنین مجازات هایی اجتناب کند، CISO می تواند بر اهمیت اقدامات پیشگیرانه تأکید کند.
همین گزارش از ExtraHop که در بالا ذکر شد نشان می دهد که میانگین هزینه نقض داده برای یک شرکت در ایالات متحده حدود ۹٫۴۴ میلیون دلار است. هنگامی که این عدد با هزینه های کنترل، اصلاح و اقدامات متقابل مقایسه شود، ارزش کاهش ریسک آشکار می شود.
علاوه بر این، توسعه و ارائه سناریوهای مختلف نقض سایبری میتواند به زمینهسازی تأثیر بالقوه بر عملیات، شهرت و امور مالی سازمان کمک کند. با تشریح بردارهای مختلف حمله، میزان قرار گرفتن در معرض داده ها، و پیامدهای بعدی، CISO ها می توانند اهمیت سرمایه گذاری های امنیت سایبری را در کاهش این خطرات برجسته کنند. استفاده از معیارها، داده ها و تصاویر بصری می تواند به CISO ها کمک کند تا اطلاعات پیچیده را در قالبی قابل هضم ارائه دهند.
هدف اولیه یک سازمان در امنیت سایبری ایجاد، تبلیغ و حفظ اعتماد است. تمام سرمایه گذاری ها در امنیت سایبری باید با این ماموریت هماهنگ باشد و همه رهبران کسب و کار باید در راستای آن تلاش کنند. مهم است که رهبران شرکت را از دستاوردهای مهم مطلع کنید و گزارشهای مفصلی را به اشتراک بگذارید که بر پیشگیری از خسارات، مانند تعداد حملات خنثیشده تاکید میکند. این رویکرد میزان اثربخشی راه حل های امنیتی را تعیین می کند و ارزش محصول را ثابت می کند.
با ایجاد یک مورد تجاری محکم و کمی کردن هزینه های نقض احتمالی، CISO ها نقشی اساسی در کمک به هیئت مدیره ایفا می کنند که تشخیص دهد امنیت سایبری صرفاً یک هزینه نیست، بلکه یک سرمایه گذاری استراتژیک مورد نیاز است که می تواند از اعتبار، ثبات مالی و موفقیت بلندمدت سازمان محافظت کند. .
ما بهترین نرم افزار مدیریت هویت را معرفی کرده ایم.
این مقاله به عنوان بخشی از کانال Expert Insights TechRadarPro تهیه شده است که در آن بهترین و باهوش ترین ذهن ها در صنعت فناوری امروز را معرفی می کنیم. نظرات بیان شده در اینجا نظرات نویسنده است و لزوماً نظرات TechRadarPro یا Future plc نیست. اگر علاقه مند به مشارکت هستید، در اینجا اطلاعات بیشتری کسب کنید: https://www.techradar.com/news/submit-your-story-to-techradar-pro
منبع: https://www.techradar.com/pro/how-cisos-should-advocate-for-cyber-budgets