Повече бизнес фокус: CISO печели доверието на борда

Anonim

Когато Кристофър Хетнер, консултант по риск за сигурността в консултантския марш, искаше да установи доверителна връзка с борда на компанията си, той задава много въпроси. Хетнер искаше да разбере по-добре как работи C-Level и какво изисква от сигурността.

Sucht der CISO auch außerhalb der regulären Board-Meetings Kontakt zum Vorstand, lässt sich schneller ein Vertrauensverhältnis aufbauen.
Ако CISO се свърже и с Изпълнителния съвет извън редовните заседания на борда, е по-лесно да се изгради връзка на доверие.
Снимка: Theethawat Bootmata - shutterstock.com

"Трябваше да изградя доверие, да разбера начина на мислене, да разбера как функционира бизнесът и как изглежда рисковата ситуация", казва Хетнър в интервю за сестрата на CSO на изданието COMPUTERWOCHE. Докато беше вицепрезидент по сигурността на информацията в Citigroup, той седеше директно с финансовия директор, докато той работеше. Така той би могъл да научи от какво зависи успехът на компанията.

spoods.de

CISO трябва да напуснат зоната на комфорт

За Хетнер е важно да надхвърли техническия аспект на неговата роля. Въпреки това много CISO се чувстват по-удобно с техническите показатели и когато говорят с борда за технологиите. Те обаче не представляват бизнес риска пред Съвета от икономическа гледна точка, което може да направи информацията по-малко важна.

Някои от техническите показатели всъщност са важни според Хетнер, но би трябвало да има друг вид диалог, който да се фокусира върху въздействието им надолу по веригата върху бизнеса. По този начин CISO може по-добре да подкрепи цялостната корпоративна стратегия и да стане ценен, доверен съветник на Управителния съвет.

Съветвайте вместо лекция

Много CISO провеждат презентации за борда на компанията си без последствия. Добрата палуба Powerpoint сама по себе си не е достатъчна. "Целта трябва да бъде спечелването на доверието на борда, така че CISO да получи подкрепата си, когато става дума за трудни неща", заяви Джон Пескаторе, директор на тенденциите в сигурността на експерта в SANS Institute.

"Когато бордът се довери на CISO, те могат да вършат работата си по-добре и по-бързо, да предприемат необходимите действия и да получат необходимия бюджет", казва Крис Лавджой, ръководител на глобалната киберсигурност в Ernst & Young. Това беше решаващо, тъй като рисковете за киберсигурност са много динамични. CISO трябва да може бързо да адаптира стратегията и оперативния модел. Ако той няма подкрепата на ръководството и борда, ще е трудно.

За компаниите, които искат да повишат функцията си за сигурност до стратегическо ниво, е важно да изградят такава връзка на доверие. След това сигурността може да стане пълноправен партньор на управленското ниво и да повлияе на стратегическите решения на ниво С.

Сигурността е важна, но сложна

Управляващите директори знаят важната роля на сигурността. Националната асоциация на корпоративните директори (NACD) проведе проучване сред директорите на над 500 дружества, регистрирани в списъка. В проучването заплахите за киберсигурност се нареждат сред първите три риска, които могат да повлияят на успеха на бизнеса. Челните места доказват регулаторните промени и икономическата стагнация.

Безопасността е един от основните приоритети, според проучванията на Gartner. До 2020 г. ръководителите на всички големи корпорации се очаква да докладват най-малко веднъж годишно висшите ръководители за рисковете в областта на киберсигурността и технологиите. Това е увеличение с 40 процента в сравнение с 2016 г. Въпреки това, изглежда има разлика между служителите по сигурността и борда.

Ernst & Young (EY) интервюира междинни мениджъри на ниво С 2018-191400 по целия свят в проучването на глобалната информационна сигурност EY. 28 процента заявиха, че бордът и висшето ръководство не разполагат с пълно разбиране на информационната сигурност, за да оценят напълно кибер рисковете и защитите. Други 31 процента казват, че има само ограничено разбиране. Само 39 процента смятат, че ръководството им има необходимите знания.

Освен това, проучването казва, че само 18 процента от компаниите правят ИТ сигурността стратегически компонент на дневния си ред. Още 55 процента заявяват, че сигурността влияе на бизнес стратегията само слабо или изобщо не. „Бордовете често получават отчети от CISO за рамка за зрялост с червени, жълти и зелени индикатори за състоянието на нещата, но те не разбират непременно какво виждат и ги обезпокояват“, казва Lovejoy от EY.

CISOs често объркват членовете на своите съвети с твърде технически презентации. Те използват ключови цифри от индустрията за сигурност, за да подчертаят успехите, които обаче не дават никаква представа за значението, което това има за бизнеса. Те говорят за броя на блокираните фишинг атаки и защитени вируси или скоростта на кръпка. „Това не е видът на съобщението, което интересува борда“, добавя Хетнер.

И двете страни са в дежурство

Обвиняването само на CISOs обаче не го прави справедливо. От своя страна, членовете на борда имат задължението да се занимават и с теми на ИТ сигурността и да разбират как се вписват в стратегиите. Те също трябва да знаят как най-добре да поддържат функцията за сигурност в своята организация.

"Изграждането на връзка на доверие е взаимна отговорност. CISO иска Бордът да го подкрепи. Бордът иска да знае какво прави CISO, така че те трябва да работят заедно, за да определят очакванията, които CISO може да изпълни", казва Lovejoy. Рядко има абсолютно недоверие, най-вече мениджърите се чувстват неудобно от връзката, която имат с служителите по сигурността.

Четири признака на неприятности

За да установят дали връзката между CISO и Съвета е достатъчно добра, експертите цитират четири показателя.

Без презентации на борда

Ако CISO не се представя редовно пред съвета лично (но например чрез заместник), има проблем. Според Lovejoy, CISO трябва да говори с целия съвет най-малко веднъж годишно. Освен това той счита, че тримесечните представяния пред отговорна надзорна комисия са полезни.

Без дискусии

Ако няма дискусии след подобни презентации, това е индикация за Hetner, че CISO няма тясна връзка с борда. Само ако съветът търси обмена и поставя конкретни задачи, това е индикация, че CISO е ефективен.

Грешни въпроси

Ако членовете на борда задават на CISO въпроси, които се отнасят до "фалшиви показатели" според Lovejoy, това също е притеснително. Например, когато се опитват да разберат планираните технически мерки, те могат да имат трудности да разберат какво се опитва да опише CISO.

Твърде късно за обсъждане на стратегии

ОДИС, които не се обменят редовно с ниво на С, за да допринесат за своята гледна точка за бизнес стратегиите, не се радват на доверието на борда, според Lovejoy. Ако директните ръководители на информационната сигурност не участват директно и рано в дискусиите за стратегията, означава, че те не се възприемат като достатъчно уместни за консултиране относно рисковете от инициативите за трансформация.

Три подхода

За да изградят доверие в борда, експертите дават три тактики на CISO:

Знайте рисковата толерантност на компанията

Съветът и CISO трябва да имат обща представа за това колко далеч може да стигне риска за компанията. Според Ребека Уин, директор по сигурността на информационните технологии и служител по защита на данните в американския доставчик на здравни услуги Matrix Medical Network, много от нейните колеги в различни индустрии остават с впечатлението, че бордът е доволен от минималния стандарт и иска да спести пари.

В своите перспективи за управление за 2019 г.: Прогнози относно възникващите въпроси на борда, NACD говори за раздяла между ръководители и служители по сигурността. Така 70 процента от анкетираните изпълнителни директори заявиха, че се нуждаят от по-добро разбиране на съществуващите.

Ако не е ясно какъв риск е готов да поеме бордът, CISO трябва да потърси разговора, съветва Lovejoy. Той трябва да даде да се разбере, че може да се примири с почти всяка цел - просто трябва да го знае. Тогава CISO трябва да разберат какво прави техният екип по сигурността, за да постигне тази цел.

Поставете уязвимостите в бизнес контекст

Според Хетнер, CISO трябва да говори открито за слабите страни. Той трябва да обясни пречките за разширяването на програмата за киберсигурност и да съобщи как управлението на кибер риска може да бъде приложено в предприятието. Всичко това трябваше да се случи в бизнес контекст.

Важно е да се разберат, оценят и изработят повърхности за кибер атака чрез икономически очила, тъй като те влияят върху управлението на риска. CISO трябва да се развиват, за да изграждат бизнес усет и силни комуникативни умения. Киберсигурността трябва да се преподава като стратегически въпрос, а не като технически.

Направете връзки

ОДИС трябва да установят връзки с борда извън редовните презентации. Според Пескатор от Института на ДАНС, други мениджъри на ниво С често се срещат неофициално и са в крак с времето. Така те изграждат силна връзка в ежедневието, която помага да работим по-добре заедно в трудни времена. Това трябва да успее и CISO.

Уин препоръчва спонсор да бъде в борда, за да помогне на CISO да управлява своите инициативи. "Време е да прекарате време с ръководството и да научите техния стил на комуникация. CISO трябва да знае стратегиите и тактическите планове на борда за идните години и как най-добре да ги подкрепи, ако бордът не е отворен за по-близко Сътрудничеството, комуникационните канали трябва да продължат да бъдат отворени, но трябва да се проучат и алтернативни партньорства. "