Как руководители служб информационной безопасности могут получить реальное влияние в совете дирек... скачать в хорошем качестве

Как руководители служб информационной безопасности могут получить реальное влияние в совете дирек...

Как руководитель службы информационной безопасности (CISO) превращает обсуждение кибербезопасности из технического вопроса в обсуждение бизнеса, которое действительно волнует советы директоров? В этом выпуске Tech Talks Daily я беседую с Томом Лэнгфордом, техническим директором Rapid7 в регионе EMEA и бывшим руководителем службы информационной безопасности, чтобы обсудить то, что он называет вторым этапом лидерства в области кибербезопасности. В течение многих лет отрасль упорно работала над тем, чтобы занять место за столом совета директоров. Во многих организациях эта миссия в значительной степени увенчалась успехом. Но, как объясняет Том, получение доступа было лишь первым шагом. Настоящая задача сейчас — донести информацию о безопасности таким образом, чтобы это способствовало принятию важных бизнес-решений. Том рассказывает, почему многие руководители служб информационной безопасности до сих пор подходят к обсуждениям с советами директоров так же, как и десять лет назад, хотя осведомленность советов директоров о кибербезопасности значительно изменилась. Сегодня во многих советах директоров есть члены, обладающие знаниями в области кибербезопасности или непосредственным опытом работы в этой сфере. Это означает, что руководители служб безопасности больше не могут полагаться на технический жаргон, сложные структуры или терминологию соответствия требованиям, чтобы обосновать свою позицию. Один из самых интересных выводов из нашей беседы — это несоответствие между тем, как руководители служб информационной безопасности (CISO) формулируют риски, и тем, на чём на самом деле сосредоточены советы директоров. В то время как команды безопасности часто начинают с снижения рисков, советы директоров, как правило, мыслят категориями роста доходов и операционных издержек. Том утверждает, что руководители служб безопасности должны научиться переводить кибербезопасность на язык прибыли и убытков, если они хотят, чтобы их послание нашло отклик на уровне руководства. Мы также рассматриваем, как традиционные инструменты безопасности, такие как системы оценки рисков, аудиты и стандарты соответствия, иногда создают дистанцию, а не ясность в обсуждениях совета директоров. Вместо того чтобы помочь руководителям понять приоритеты в области безопасности, эти модели могут заслонять реальный вопрос, на который пытаются ответить советы директоров. Насколько мы защищены, и что это значит для бизнеса? Ещё одна область, которую мы обсуждаем, — это растущая роль настольных учений. Том объясняет, почему эти симуляции становятся одним из наиболее эффективных способов для руководителей служб информационной безопасности продемонстрировать реальное влияние решений в области безопасности. Проведя руководителей через реалистичный сценарий инцидента, руководители могут увидеть, как безопасность, операционная деятельность, юридические отделы и приоритеты бизнеса пересекаются во время кризиса. Заглядывая в будущее, Том считает, что наиболее успешным руководителям служб информационной безопасности все чаще придется мыслить как бизнес-лидеры, а не просто как технические специалисты. Коммуникативные навыки, умение выстраивать отношения и понимание финансовых приоритетов организации могут оказаться столь же важными, как и глубокие технические знания. Таким образом, если лидеры в области кибербезопасности уже заслужили свое место в совете директоров, следующий вопрос становится гораздо интереснее. Говорят ли они на языке, который действительно понимает совет директоров, или они все еще пытаются решать бизнес-задачи, используя только терминологию безопасности?