Cách CISO có thể sử dụng C-suite và Board để quản lý và giải quyết rủi ro mạng

Giám đốc An ninh Thông tin (CISO) hiện đại có một công việc khó khăn. Giữa vô số các mối đe dọa mạng độc hại đang cố gắng xâm nhập vào tổ chức của họ, CISO cũng phải điều hướng một cách hiệu quả các vùng nước âm u khác: Thu hút C-suite của họ và quản lý các đối tác về các vấn đề an ninh mạng. Đó là một nhiệm vụ cao cả mà chỉ riêng hàng thập kỷ đào tạo kỹ thuật và kiến ​​thức chuyên môn về mạng có lập trình là chưa đủ.

Ủy ban Chứng khoán và Hối đoái (SEC) đã hoàn thiện quy định an ninh mạng mới vào ngày 26 tháng 7 yêu cầu các công ty đại chúng tiết lộ các vi phạm an ninh mạng trong vòng bốn ngày, cũng như nâng cao trình độ chuyên môn về mạng của Hội đồng quản trị và giám sát việc quản lý và đánh giá rủi ro mạng. Cơ quan đề xuất những quy định vào năm 2022 và quyết định cuối cùng dự kiến ​​​​sẽ đến vào tháng 10 năm 2023.

Hơn bao giờ hết, các CISO nên có vị trí tốt để thông báo và thu hút các nhà lãnh đạo đồng nghiệp khi các tổ chức đầu tư vào chuyển đổi kỹ thuật số trên quy mô lớn.

Tìm kiếm những công nghệ mới nhất và tốt nhất

Bối cảnh siêu cạnh tranh của thế giới doanh nghiệp số hóa của chúng ta thúc đẩy các nhà lãnh đạo tổ chức tìm kiếm liên tục các công nghệ cải tiến mới nhất và tốt nhất có thể nâng họ vượt trội.

Những công nghệ này đã phát triển theo cấp số nhân qua các thời đại điện toán khác nhau. Nó bắt đầu với máy tính lớn tập trung, sau đó chuyển sang máy vi tính và PC vào những năm 1990. Sau đó là kỷ nguyên internet, cuộc cách mạng thiết bị di động tiếp theo của những năm 2000 và mở rộng sang đám mây trong suốt những năm 2010.

Giờ đây, chúng ta đã bước vào một kỷ nguyên chuyển đổi khác: Cuộc chạy đua vũ trang hiện tại của trí tuệ nhân tạo AI và máy học (ML), mặc dù rất thú vị nhưng đã mở ra nhiều rủi ro hoạt động mới cho các CISO để quản lý.

Biết khi nào nên nói có

Cuộc hành quân để hợp lý hóa các chức năng quan trọng trong kinh doanh, giảm bớt tắc nghẽn và nâng cao hiệu quả hoạt động khiến chuyển đổi kỹ thuật số trở thành ưu tiên hàng đầu của mọi tổ chức. Khi doanh thu và sự hài lòng của khách hàng đang trên đà cân bằng, việc áp dụng các công nghệ mới và hiểu được rủi ro mạng liên quan đến chúng là bắt buộc.

Để các CISO trở thành đối tác kinh doanh thực sự, việc nói “không” với mọi cơ hội mới là điều không khả thi. Biết cách và khi nào nên nói “có” mà không gây nguy hiểm cho tình hình bảo mật của tổ chức có thể là một việc khó khăn.

Điều này nâng cao tầm quan trọng của việc hiểu cách đơn giản hóa rủi ro mạng đối với C-suite và Hội đồng quản trị theo cách thúc đẩy sự hiểu biết tập thể về mức độ quan trọng của nó. Vai trò của CISO không còn là người hỗ trợ chiến thuật hay nhà công nghệ thuần túy. Đó là về việc trở thành một nhà lãnh đạo chuyển đổi, thu hẹp khoảng cách giữa hoạt động kinh doanh và an ninh mạng của tổ chức để giúp thúc đẩy việc áp dụng thị trường và thành công bền vững.

Thu hút C-suite: Điều chỉnh rủi ro mạng cho các mục tiêu kinh doanh

Việc sử dụng C-suite một cách hiệu quả dựa trên việc đơn giản hóa mối liên hệ giữa rủi ro mạng và rủi ro kinh doanh. Điều này đòi hỏi phải giải mã tác động của một cuộc tấn công mạng theo cách không mô tả câu chuyện về ngày tận thế, nhưng vẫn phác thảo rõ ràng những phân nhánh nghiêm trọng mà nó có thể gây ra đối với các mục tiêu kinh doanh cơ bản.

Đối với cuộc Chat với CFO, liên kết đó có thể là tổn thất tài chính liên quan đến thời gian ngừng hoạt động do sự kiện ransomware gây ra. Đối với CMO, đó có thể là tổn hại về uy tín thương hiệu sau khi dữ liệu thông tin nhận dạng cá nhân (PII) của khách hàng bị rò rỉ. Đối với COO, đó có thể là sự gián đoạn kinh doanh do vi phạm chuỗi cung ứng.

Tên thật của trò chơi là truyền đạt ý nghĩa của việc không hành động, buộc nó trở lại với những kết quả có ý nghĩa nhất trong mắt các nhà lãnh đạo tương ứng. Bởi vì hãy đối mặt với nó, các cuộc Chat xung quanh sự phức tạp của các giải pháp phát hiện và phản hồi mở rộng (XDR), các cuộc tấn công từ chối dịch vụ phân tán và tấn công từ chối dịch vụ phân tán (DDoS) sẽ không bao giờ gây được tiếng vang hoàn toàn với đối tượng không có kỹ thuật.

Và, nói rộng ra, nó cũng có thể bị coi là bị coi thường mà CISO không thực sự nhận ra điều đó, càng làm trầm trọng thêm sự phức tạp của bối cảnh mối đe dọa mạng.

Gắn kết hội đồng quản trị: Xây dựng lòng tin và sự tự tin

Khi bản chất của các mối đe dọa mạng tiếp tục phát triển, thì bối cảnh pháp lý xung quanh rủi ro mạng bao trùm cũng vậy. Với các quy định mới của SEC đang được áp dụng, các phòng họp cuối cùng cũng bắt đầu nắm bắt được tính cấp thiết của khả năng phục hồi không gian mạng trong thời đại kỹ thuật số — đưa ra các cam kết cao hơn về việc trang bị cho các tổ chức các nguồn lực phù hợp để chủ động bảo vệ dữ liệu và tự bảo vệ mình.

Hiệu ứng lan tỏa của sự thay đổi mô hình này là các nhà lãnh đạo bảo mật hiện đang được Hội đồng quản trị của họ khai thác để có được thông tin chi tiết và lời khuyên hơn bao giờ hết. Một Nghiên cứu của Nhóm CAP đầu năm nay cho thấy rằng 90% các công ty trong chỉ số Russell 3000 thiếu một giám đốc duy nhất có chuyên môn cần thiết về mạng. Đổi lại, các CISO đang được kêu gọi thiết lập và duy trì một đường dây liên lạc mở trong phòng họp.

Cập nhật nhanh chóng và liên tục

Xem xét các yêu cầu tuân thủ nghiêm ngặt sẽ sớm được áp dụng, Hội đồng cần cập nhật nhanh chóng và liên tục về bối cảnh các mối đe dọa mạng. Sự tham gia hiệu quả trong bối cảnh này đòi hỏi sự hiểu biết chắc chắn về mục tiêu cuối cùng. Vấn đề không phải là hỏi cơ quan quản lý chính của tổ chức về ngân sách hoặc phê duyệt không gian mạng. Điều đó thường để C-suite quyết định.

Thay vào đó, đó là một bản kiến ​​​​nghị để tin tưởng rằng tổ chức có vị trí tốt để quản lý chính mình thông qua một cuộc khủng hoảng mạng và giảm thiểu hậu quả của nó tuân thủ các quy định tương ứng.

Thời gian là điều cốt yếu trong môi trường phòng họp — CISO thường chỉ có từ 15 đến 30 phút để đưa ra trường hợp của họ. Vì vậy, hãy loại bỏ các bản trình chiếu PowerPoint phong phú và các bản trình bày dài dòng, thay vào đó hãy tận dụng các kỹ thuật kể chuyện có sức ảnh hưởng và các ví dụ thực tế logic thu hút cảm xúc.

Nó không chỉ là nói về rủi ro mạng. Đó là về việc làm cho họ cảm thấy tác động của nó.

Frank Kim là thành viên của Học viện SANS và CISO-in-Residence tại liên doanh YL.