چگونه امنیت سایبری را به عنوان اولویت اصلی هیئت مدیره و مدیر مالی معرفی کنیم


توسط مارک هیوز ، فناوری DXC

من به عنوان مدیرعامل مسئول ارائه راه حل های امنیتی برای مشتریان جهانی خود ، می بینم که امنیت سایبری در دستور کار هیئت مدیره بالاتر می رود. بر اساس IDC ، در زمانی که اکثر بودجه ها در حال کاهش هستند ، هزینه های امنیتی جهانی 8.1٪ در سال در حال افزایش است و به 174.7 میلیارد دلار در سال 2024 رسیده است.

دلیل خوبی برای این وجود دارد. نقض داده های بزرگ و حملات فلج کننده باج افزارها می توانند تا سطح بلایای طبیعی افزایش پیدا کنند – که اغلب باعث راکد شدن مشاغل و آسیب رساندن به برند ، وفاداری مشتری ، مشارکت و موارد دیگر می شود. برای من تکان دهنده است ، اما طبق تخمین های Cybersecurity Ventures تخمین زده شده برای جرایم اینترنتی – حدود 6 تریلیون دلار در سال 2021 – “بزرگترین انتقال ثروت اقتصادی در تاریخ” است.

اگر هیئت مدیره و مدیر عامل مالی در سال 2020 چیزی یاد بگیرند ، انتظار غیر منتظره ای می رود. اما برای اینکه واقعاً م effectiveثر واقع شوند ، آنها باید کاملاً خطرات را درک کنند و امنیت سایبری را تقریباً برای هر کاری که سازمان انجام می دهد – از بالا – اساسی می دانند.

فقط مشکلات IT نیست

توجه به این نکته مهم است که امنیت دیگر فقط وصله ای نیست و از سیستم های IT محافظت نمی کند. ما می دانیم که این موضوع بیشتر در فضای عملیاتی جاسازی شده است.

در ژوئن گذشته ، هنگامی که باج افزار شبکه های داخلی یک تولید کننده جهانی را قفل کرد ، این شرکت مجبور شد موقتاً امکانات تولید ، خدمات مشتری و خدمات مالی را به حالت تعلیق درآورد.

روند دیگری که می بینم گسترش دامنه ریسک هایی است که شرکت های بزرگ با آن روبرو هستند. انواع مختلفی از عوامل اجتماعی – فنی مانند محیط نظارتی ، تغییرات اجتماعی و سیاسی و فرهنگ بر فضای تهدید تأثیر می گذارد.

سیاست های نامناسب توسط مدیریت می تواند منجر به تهدیدات داخلی و انتشار اطلاعات حساس شود. معرفی سیاست جدید هیئت مدیره ، فعالیت M&A یا ارتباط با یک ارائه دهنده ممکن است ناخواسته یک گروه هکتیویست را به اخلال در وب سایت شرکت ، ربودن حساب های شبکه های اجتماعی یا تعلیق خدمات از طریق حمله انکار سرویس توزیع شده تحریک کند. برنامه های ساده حفظ حریم خصوصی داده ها می توانند در برخی مناطق منجر به تحریم های عظیم شوند ، اما در مناطق دیگر فقط سیلی به مچ دست آنها وارد می شود.

در حالی که بیشتر هیئت مدیره تأثیر امنیت بر نام تجاری و اعتماد به نفس مشتری را درک می کنند – و مدیران مالی از قبل از هزینه ها آگاه هستند – افسران ارشد امنیت اطلاعات (CISO) هنوز با وظیفه دلهره آور برقراری ارتباط منظر خطر که همیشه در حال تغییر است مواجه هستند.

بالا بردن امنیت در دستور کار

تیم ما در کمک به این رهبران برای درک خطرات از دیدگاه آنها متمرکز است. چندین بهترین روش می تواند به سازمان شما کمک کند تا امنیت را در اولویت اصلی خود قرار دهد.

در مورد ریسک و بازگشت سرمایه صحبت کنید ، نه تهدیدها و آسیب پذیری ها. نظارت بر امنیت و ابزارهای اطلاعاتی تهدید می توانند تصویری خوب از افزایش حملات سایبری ارائه دهند ، اما نمی توانند به این س ،ال اساسی که “امنیت ما چقدر است” پاسخ دهند.

هیئت مدیره برای درک هزینه ، قابلیت اطمینان و ریسک به داده نیاز دارد ، اما CISO همچنین باید یک دید جامع از قرار گرفتن در معرض خطر ارائه دهد.

فرهنگ آگاهی سایبری از بالا شروع می شود. با ظهور حملات پیچیده تر فیشینگ در زیر آب ، تیم رهبری بیشتر از هر زمان دیگری آسیب پذیر هستند. CFO در حال اندازه گیری هزینه های کاهش خطر با قرار گرفتن در معرض احتمالی هستند ، بنابراین CISO باید ROI را به وضوح اطلاع دهد: تأثیر بالقوه بر قیمت سهام و ارزش سهامداران چیست؟ هزینه بالقوه آسیب پذیری در مقایسه با هزینه از بین بردن آن چقدر است؟

تلاش برای محافظت در برابر همه تهدیدات احتمالی می تواند مقرون به صرفه باشد و حتی مانع نوآوری و رشد تجارت شود. تصمیمات باید با همکاری ، تعادل مناسب بین اولویت های خطر و کنترل موثر امنیتی گرفته شود.

یک قهرمان امنیتی پیدا کنید. در سال های اخیر ، رهبران ارشد بر راه های متنوع سازی هیئت مدیره خود تمرکز کرده اند. علاوه بر محیط ها و دیدگاه های مختلف ، هیئت مدیره ها می توانند از مهارت های مربوطه مانند مدیریت سرمایه گذاری ، فناوری اطلاعات ، منابع انسانی و مدیریت ریسک نیز بهره مند شوند.

همچنین ممکن است موردی برای یک قهرمان ریسک سایبری وجود داشته باشد ، به ویژه در صنایع با هدف بسیار بالا مانند بانکداری ، خرده فروشی ، بهداشت و درمان. وجود یک قهرمان امنیتی در تابلو به حفظ امنیت در جلو و مرکز کمک می کند. یک عضو هیئت مدیره با تجربه امنیتی یا تجربه قبلی در برخورد با نقض عمده می تواند به اعضای با دانش فنی کمتر در درک سریع تغییر خطرات کمک کند.

فقط به بیمه سایبری اعتماد نکنید. بیمه سایبری ابزاری نسبتاً جدید برای کاهش ریسک است که معمولاً بدهی های مربوط به نقض داده ها از جمله خسارت ، هزینه دادرسی ، اطلاع رسانی به مشتری ، بازیابی اطلاعات و تعمیرات سیستم رایانه را پوشش می دهد. با این حال ، این سیاست ها ممکن است از دست دادن ارزش به دلیل سرقت مالکیت معنوی یا هزینه به روزرسانی نرم افزار و تجهیزات برای جلوگیری از حملات را پوشش ندهد.

CFO ها و افسران ارشد ریسک باید مزایای بیمه سایبری را در برابر فرصت های بیمه شخصی ارزیابی کنند. در سال 2018 ، شهر آتلانتا به جای پرداخت 50،000 دلار باج ، 2.7 میلیون دلار برای بهبودی از حمله سایبری هزینه کرد. بیشتر هزینه ها صرف به روزرسانی سیستم های منسوخ شد. بیمه سایبری تصمیم گیری در مورد عدم پرداخت دیه را برای مدیر مالی آسان می کند ، اما نمی تواند خسارت شهرت را کاهش دهد. پیشگیری ، واکنش سریع و انعطاف پذیری عملیاتی هنوز هم بهترین محافظت است.

فرآیندهای مدیریت انعطاف پذیر را تنظیم کنید. آسیب پذیری های جدید دائماً در حال ظهور هستند و مهاجمان دائماً تاکتیک های خود را تغییر می دهند ، بنابراین برنامه های امنیتی برای پاسخگویی به فرآیندهای مدیریت انعطاف پذیر نیاز دارند.

سازمان ها باید امنیت را مطابق با بهترین روش ها و برنامه های مقاومتی مستقر ، به همان روشی که سیستم های اصلی به برنامه های بازیابی و پشتیبان گیری در برابر بلایا نیاز دارند ، مدیریت کنند. همانطور که شرکت ها برای بهبود مستمر عملیات ، خدمات به مشتری و سایر رشته های اصلی تلاش می کنند ، هیئت مدیره و مدیر مالی نیز باید از نظر امنیتی یکسان باشند.

مدیریت برنامه های امنیتی و دفع مهاجمان همیشه معامله ای بین هزینه و ریسک خواهد بود ، اما با شرط بندی های زیاد ، تصمیمات امنیتی باید به روشی آگاهانه ، استراتژیک و مشترک اتخاذ شوند. هیئت مدیره و مدیر مالی بخشی جدایی ناپذیر از این مکالمه است.

با آخرین خطرات شرکت همراه باشید. مشترک شدن در گزارش تهدید امنیتی DXC.

درباره نویسنده

مارک هیوز معاون ارشد پیشنهادها و شرکای راهبردی در DXC Technology است ، مسئول سازمان امنیت جهانی DXC و پیشنهادهایی از جمله امنیت سایبری ، زیرساخت های امن ، هویت دیجیتال و محافظت از داده ها. وی پیش از این مدیر عامل BT Security بود.


منبع: bighat-news.ir

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>