התקשרות שוטפת עם ראשי מערכות מידע (CISOs) עשויה שלא להיות מספקת על מנת שההנהלה תבין במלואה ותשקיע באופן הולם באבטחת סייבר. לפי סקר שנערך על ידי מועצת האבטחה הבינלאומית של ניוסטאר בנובמבר 2022, רק 49% מהארגונים יש להם תקציב מתאים לצורך הצרכים שלהם בתחום אבטחת הסייבר. לכן, רק מחצית מה-CISOs מקבלים את המשאבים הנדרשים כדי להחיל אסטרטגיות אבטחת סייבר אפקטיביות.
מה ש-CISOs צריכים ביותר הם כלים להעברת נושאים הקשורים לאבטחת סייבר בצורה אפקטיבית על מנת להשיג מימון מספק בתחום זה. מאמר זה מציע טיפים ופרקטיקות מומלצות עבור ה-CISOs על איך לתקשר את אבטחת ה-IT להנהלה ולוודא שהיא לוקחת את אבטחת הסייבר ברצינות.
למה ה-CISOs צריכים לשפר את ההתקשרות שלהם עם ההנהלה?
חוסר בתקשורת אפקטיבית בין ה-CISO להנהלה הוא לרוב הסיבה העיקרית לכך שארגונים לא מצליחים להטמיע פרקטיקות אבטחה המותאמות לצרכים הספציפיים שלהם ולא מבטיחים את הנכסים החשובים ביותר שלהם. לפי סקר המנהלים השנתי של PwC לשנת 2022, רק 41% מהמנכ"לים חושבים שחברי ההנהלה שלהם מבינים את סיכוני אבטחת הסייבר “מצוין”. הסיבה הסבירה ביותר לכך היא שההנהלה וה-CISO מדברים בשפות שונות.
בעוד שכל הנהלה בארגון היא ייחודית, רוב חברי ההנהלה לא בעלי רקע טכני. לפי נתונים של Heidrick & Struggles, רק 5%, 10% ו-17% מחברי ההנהלה באירופה, הממלכה המאוחדת וארה"ב בהתאמה, יש להם ניסיון בתחום אבטחת סייבר. במצב כזה, ייתכן שיהיה קשה להנהלה להבין את הקשר שבין סיכוני אבטחת הסייבר לבין סיכונים עסקיים.
באותה עת, ה-CISOs לעיתים שוכחים כי להנהלה יש מעט מאוד הבנה לגבי המורכבות של פעולתה של אבטחת סייבר. חלק מה-CISOs מתקשים לתקשר את אבטחת הסייבר להנהלה במונחים עסקיים, דבר שמוביל להערכת חסר של הערך של אבטחת הסייבר מצד חברי ההנהלה ולתקציבי אבטחת סייבר לא מספיקים.
Gartner, “רשימת מקורות מקיפה להצגת אבטחת סייבר להנהלת הדירקטוריון”, ג'יי הייזר, 5 בינואר 2023
שיפור המומחיות של המנהלים בתחום אבטחת הסייבר באמצעות תקשורת אפקטיבית יכול להועיל לארגון בדרכים רבות. לדוגמה, כאשר להנהלה יש ידע בתחום אבטחת הסייבר, הארגון פחות סביר להוציא הרבה כסף על אמצעי אבטחה מיותרים רק משום ש“כולם משתמשים בהם”, ויותר סביר להטמיע אמצעים שמתאימים לצרכים הספציפיים של הארגון.
בנוסף, יתכן מאוד שמומחיות בתחום אבטחת הסייבר של חברי הדירקטוריון תפסיק להיתפס פשוט כנכס ותהפוך לדרישה במדינות מסוימות. בארה"ב, רשות ניירות ערך (SEC) שוקלת תקנה חדשה שתדרוש דיווח על המומחיות בתחום אבטחת הסייבר של דירקטוריון החברה.
כדי לעזור לך להתכונן לפגישה עם הדירקטוריון, בוא נתחיל לבדוק מה מצפים ממך לדווח.
היבטים חשובים לדווח עליהם בתחום אבטחת הסייבר
היבטים של אבטחת הארגון שדווח עליהם עשויים להשתנות בהתאם לסוג הפגישה של הדירקטוריון. לדוגמה, מה שדווח בו במהלך פגישה שנתית יהיה שונה ממה שתדון בו במהלך פגישה בעקבות אירוע אבטחה. כאן נסקור את המידע הקריטי שעליך לדווח להנהלת הדירקטוריון במהלך פגישות רבעוניות רגילות:
1. סיכוני אבטחת סייבר נוכחיים
קחו בחשבון לחקור אירועי אבטחה רחבים ומסוימים לתעשייה לפני הפגישה. חברי הדירקטוריון צריכים להבין שהאיום הוא אמיתי. אידיאלי יהיה לספק מספר דוגמאות אמיתיות ותוצאותיהן. אם אתם פועלים באחת מהתעשיות שבסיכון לאיומי סייבר, עליכם להדגיש את העובדה הזאת בפני הדירקטוריון.
לאחר החקירה, שקלו לבצע הערכת סיכונים. זה יכול לעזור לכם:
- לזהות אזורים פגיעים להתקפות סייבר
- לתעדף את הסיכונים
- להעריך עד כמה אמצעי האבטחה הנוכחיים שלכם יעילים
- ליצור אמצעים חדשים להטמעה
- לקבוע את הסבירות לאירועי אבטחת סייבר
כשאתם משתפים את תוצאות ההערכה עם הדירקטוריון, השתדלו להדגיש כמה סביר שהאירועים הספציפיים יתרחשו בארגון שלכם ואת ההפסדים הפיננסיים הפוטנציאליים מאלה.
<pאותו הדבר לגבי סיכוני צד שלישי. כל ספק של צד שלישי שאתם משתפים עימו פעולה מגדיל את הסיכונים לאבטחת הארגון שלכם. נסו לקטלג את הספקים שלכם לפי ההשפעה שלהם על הארגון. ככל שיותר נתונים רגישים נגישים להם, כך הסיכון גבוה יותר. עדכנו את חברי הדירקטוריון לגבי ספקים בעלי השפעה פוטנציאלית גבוהה והאופן שבו אתם מטפלים בסיכונים שהם מציבים לארגון.
2. אירועי אבטחה אחרונים
דווחו על כל אירועי אבטחה שהתרחשו בארגון שלכם במהלך הרבעון האחרון ותוצאותיהם. התחילו עם האירועים המשמעותיים ביותר והמשיכו בהדרגה לאירועים פחות משמעותיים.
הסבירו בקצרה לדירקטוריון מה קרה, איך צוות האבטחה הגיב ומה גרם לכל אירוע. הציגו את ממצאי חקירת האירוע ואת התוכניות שלכם למנוע אירועים דומים בעתיד.
בנוסף, תוכלו לכלול סיכום של אמצעי האבטחה שהטמעתם לאחר אירועים קודמים. תארו בקצרה כיצד אמצעים אלו שיפרו את אבטחת הארגון, והאם הם סייעו למנוע אירועים נוספים.
3. תוצאות של ביקורות אבטחה ובדיקות חדירה
כדי להדגים בבירור כיצד הארגון מתפקד מבחינת אבטחה, ספקו לחברי הדירקטוריון את תוצאות בדיקות חדירה וביקורת אבטחה אחרונות.
תוצאות בדיקות החדירה יכולות לעזור לדירקטוריון להבין את הפגיעויות הקיימות בהגנה על הארגון. באותו הזמן, תוצאות ביקורת האבטחה יכולות להראות על פערים בשליטה על אבטחה, פרקטיקות והתאמה לסטנדרטים בתעשייה. תוכלו להשתמש בתוצאות אלו כדי להדגיש את הצורך בהטמעת אסטרטגיית אבטחה חדשה והגדלת התקציב לאבטחת סייבר.
4. התקדמות בפרויקטים של אבטחת סייבר
ספקו מידע על מצבם של פרויקטים מרכזיים שהצוות האחראי לאבטחה עובד עליהם כיום. פרויקטים אלה עשויים להיות קשורים ל:
- שמירה על עמידה בדרישות אבטחת מידע
- הטמעת אמצעי אבטחה
- ניהול והסרת פגיעויות במערכות
- פיתוח או עדכון של מדיניות ונהלי אבטחה
במהלך הצגתכם, הקפידו לציין אם הפרויקטים על לוח הזמנים ובתקציב, ואם הם דורשים משאבים נוספים (אם כן, הציגו סיבה טובה לכך).
לסיום, יידעו את חברי הדירקטוריון לגבי מטרות ברמה גבוהה, עלויות, לוחות זמנים ו-ROI של הפרויקטים.
5. עמדות אבטחת סייבר של המתחרים
לוח הזמנים הרבה יותר ברור לחברי הדירקטוריון אם תשוו את אבטחת הארגון לאלה של המתחרים ומובילים בתעשייה. כך הם יוכלו להבין טוב יותר מהו סיכון מקובל לאבטחת סייבר.
נסו להשוות את ביצועי האבטחה של הארגון עם כמה מהמתחרים. היו כנים לחלוטין והראו לחברי הדירקטוריון את התחומים בהם הארגון מצטיין או חסר.
עכשיו, לאחר שציינו את הנקודות החשובות, נסקור שבעה טיפים חשובים בהכנת דיווח שהדירקטוריון שלכם יבין ויעריך.
תקשורת אבטחת IT לדירקטוריון: 7 טיפים של ה-CISO
תקשורת לא אפקטיבית היא מכשול עיקרי עבור קציני אבטחה המנסים לנהל סיכוני סייבר באופן יעיל. אספנו שבעה טיפים חשובים שיעזרו להבטיח שהתקשורת עם ההנהלה תהיה חלקה ומועילה.
1. הבנת העסק והעדיפויות של הדירקטוריון
שימור איזון בין טכנולוגיה לעסקים הוא קריטי כיום עבור קציני אבטחת מידע. הבנה מקיפה של הפעילות העסקית יכולה לספק תובנה על העדיפויות של הדירקטוריון ולתאם את אסטרטגיית האבטחה שלכם בהתאם.
מצד שני, ידיעה של העדיפויות והציפיות הנוכחיות של הדירקטוריון תעזור לכם להבין איזה מידע להציג במהלך הפגישה ואיך להעביר את הנקודות שלכם. העדיפויות הללו עשויות לכלול:
- מניעת השבתות עסקיות
- שמירה על אמון הלקוחות ומוניטין החברה
- הגנה על חדשנות החברה וסודות מסחריים
- ציות לדרישות אבטחת מידע
אם המטרה העיקרית שלהם כרגע היא להבטיח עמידה בדרישות אבטחת סייבר מעודכנות בתעשייה, עליכם להתאים את הדיווח בהתאם. הראו אם הארגון שלכם עומד בדרישות ואם כן, איך. אם לא, הראו איך אתם מתכננים להבטיח עמידה והגדרו מה הצוות שלכם זקוק לו כדי לעמוד בדרישות אבטחת המידע.
2. דיברו בשפתם
התאימו את הדיווח לשפת הקהל כדי לוודא שהמסר שלכם יגיע אליהם. נסו לפשט את השפה ככל האפשר על ידי הימנעות משפת טכנולוגיה וטרמינולוגיית אבטחת סייבר. שימוש בשמות מלאים ותיאורים במקום קיצורים שאינם מוכרים לחברי הדירקטוריון יכול גם הוא להקל על התקשורת.
בנוסף לבחירת המילים הנכונות, ודאו שאתם מציגים את המידע בצורה עסקית. לדוגמה, במקום לתאר מה יש לאבטח ואיך, הסבירו איזה ערך תהליך או כלי אבטחה מסוים מביא לעסק. כאשר מציגים מדדים, ציינו איך הם השתנו לאורך זמן כדי להמחיש כיצד תחומים מסוימים באבטחה השתפרו או החמירו.
השתמשו באמצעים חזותיים במהלך הצגתכם. השתמשו בכלים יעודיים כדי להציג נתונים בסכמות, דיאגרמות וגרפיקה כך שיהיה קל יותר לחברי הדירקטוריון להבין.
3. הצדקת יישום אמצעי אבטחה חדשים
ללא הצדקה נכונה, הנהלת החברה לא תהיה מוכנה להשקיע יותר במשאבים לאבטחת סייבר. כאשר אתם צריכים להטמיע תהליכים אבטחתיים חדשים או לפרוס כלים נוספים, הראו לדירקטוריון כיצד אותם תהליכים וכלים תואמים את מטרות הארגון הנוכחיות.
הדגישו כי אמצעי אבטחה חדשים יכולים לעזור לעמוד בדרישות אבטחת סייבר, למנוע קנסות ובעיות משפטיות, למנוע אובדן הכנסות או פגיעה במוניטין, ולצמצם את הסיכון לאירועי אבטחה. כך, הדירקטוריון יהיה נלהב יותר להקצות את המשאבים הדרושים.
4. כימות נתוני אבטחת סייבר
חברי הדירקטוריון עשויים להתקשות בהבנת מונחים טכניים, אך מה שהם מבינים היטב הם מדדים כמו הכנסות ורווחיות. כאשר אתם מציגים את הדיווחים שלכם, ודאו שאתם מדגישים את התוצאות העסקיות של סיכוני סייבר או אמצעי אבטחה מסוימים ואיך הם עשויים להשפיע על הכנסות או רווחיות הארגון. ייתכן שתצטרכו סיוע מה-CFO או מומחים פיננסיים אחרים בארגון כדי לתמוך בהצהרותיכם.
ודאו שהדיווחים שלכם הם ספציפיים ולעניין. במקום לומר "פרסנו כלי להפחתת סיכונים מאיומי סייבר פנימיים ודליפות מידע", אפשר לומר "הוצאנו 200,000 דולר על מוצר שיעזור לנו למנוע הפסדים של עד 2 מיליון דולר עקב דליפות מידע וקנסות על אי-ציות."
5. שמרו על הדיווחים קצרים
במהלך הצגתכם, ייתכן שתהיו מפתים לשתף את כל התובנות. אך עדיף להדגיש את ההיבטים המשמעותיים ביותר מבלי להיכנס לפרטים רבים מדי. הצגות ארוכות לא מקבלות את תשומת הלב הנדרשת מחברי הדירקטוריון, דבר שהוא קריטי כדי להשיג את מטרות ה-CISO.
התמקדו בתמונה הגדולה כדי לשמור על תשומת הלב של הדירקטוריון, והגישו פרטים רק כאשר הדבר דרוש. הדגישו את ההשפעה הפוטנציאלית של אירועי אבטחה על חדשנות, פרודוקטיביות, הכנסות ומוניטין החברה, תוך תיאור קצר של אמצעי ושלבי אבטחה.
6. היו מוכנים להתנגדויות ושאלות
חברי הדירקטוריון צריכים ומסוגלים לשאול שאלות במהלך הצגתכם. כמה מהשאלות הנפוצות עשויות להיות:
- אילו צעדים אנו נוקטים בהתמודדות עם הנוף המשתנה של האיומים?
- איך אנחנו מנהלים סיכון הנוגע לצדדים שלישיים וספקים?
- האם אנו מסוגלים להגיב במהירות ולהגביל את הנזקים כאשר מתרחש אירוע סייבר?
- האם יש לנו אסטרטגיית תגובה לאירועים שנבדקה?
- איך התוכנית האבטחה שלנו תואמת לדרישות רגולטוריות בתעשייה?
עם זאת, אלה רק דוגמאות. שאלות רבות תלויות בדאגות הדירקטוריון באותו רגע. לדוגמה, אם הדירקטוריון הקצה תקציב נוסף למילוי פער אבטחה מסוים, הם עשויים לשאול אם הפער הזה סולק בהצלחה. או, אם יש סוג מסוים של התקפה שארגונים בתעשייתכם נפגעים ממנה לעיתים קרובות, הם עשויים לשאול מהן הצעדים שאתם נוקטים כדי למנוע את ההתקפות הללו.
היו מוכנים עם טיעונים חזקים למען הצעותיכם כי לא כל אחת מהן תאושר על ידי הדירקטוריון. וודאו שאתם מקשיבים בתשומת לב להתנגדויות ולדאגות שלהם ומגיבים להן.
7. התכוננו כראוי
<pכאשר אתם מדווחים לדירקטוריון, עליכם להראות כי האסטרטגיה האבטחתית שאתם מיישמים או מתכננים ליישם אינה הצעה אקראית אלא מבוססת על הגיון ומקובלת על פי תקדימים.
כדי להשיג זאת, תצטרכו ללמוד בקפידה את האבטחה של הארגון שלכם ולהציג הצדקה מתאימה לכל החלטה שלכם במהלך פגישת הדירקטוריון. כדי להקל על ההכנה, וודאו תמיד לתעד ולעדכן באופן קבוע:
- נהלי אבטחה שהוקמו בארגון שלכם
- מדדי ביצועים (KPIs) של אמצעי אבטחה
- תוכנית אבטחה מושכלת
עם זאת, ביצוע אודיט וניתוח נכון של אבטחת הארגון יכול להיות אתגר ללא פתרון טכנולוגי ייעודי. קראו על איך Syteca יכול לעזור לכם בעניין הזה.
איך Syteca יכולה לעזור לכם לדווח לדירקטוריון?
Syteca היא פלטפורמת ניהול סיכוני פנימיים מקיפה שמאפשרת ניתוח מעמיק של הסביבה הפנימית של הארגון ומסייעת ל-CISO לתקשר עם מנהלי הדירקטוריון בצורה יעילה יותר.
Syteca מציעה מגוון רחב של יכולות דיווח וביקורת על פעילות המשתמשים המובנות במערכת, שיכולות לספק לכם תובנות לגבי שימושים ביישומים, פרודוקטיביות של משתמשים, התרעות אבטחה שהופעלו, סשנים לא רגילים של משתמשים ועוד. תוכלו לבחור מתוך יותר מ-20 סוגי דוחות כדי לנתח בצורה מדויקת את הסביבה האבטחתית הפנימית של הארגון שלכם.
מחולל הדוחות של Syteca
בעזרת מחבר הנתונים ו-API, תוכלו לשלב בצורה חלקה את Syteca עם Microsoft Power BI. כך תוכלו להציג נתונים מעמיקים שנאספו על ידי Syteca עם גרפיקה אינטראקטיבית וברורה, מה שיגרום לדוחות שלכם למועצת המנהלים להיות ברורים ומובנים.
דוחות שמונעים על ידי אינטגרציה של Syteca עם Microsoft Power BI
באמצעות יכולות מעקב פעילות של Syteca במהלך בדיקות חדירה, תוכלו לעקוב בזמן אמת אחר הביצועים של העובדים שלכם. תיעוד סשנים של משתמשים והצגתם בישיבות המועצה בעת הצגת תוצאות הבדיקות.
תיעוד מסך של Syteca יכול גם לעזור לכם ללכוד תקריות סייבר הנגרמות על ידי עובדים בתוך הארגון שלכם. תוכלו להשתמש בהקלטות אלו כטיעונים להצדיק את המימון של אמצעי אבטחה מסוימים.
בנוסף להקלת תהליך הדיווח, Syteca מספקת תכונות שיעזרו לכם להבטיח את האבטחה של נקודות הקצה הקריטיות ונתונים רגישים בארגון. תכונות אלו כוללות:
- ניהול זהויות משתמש
- מעקב רציף אחרי פעילות משתמשים (UAM)
- ניהול גישה בעלת הרשאות גבוהות (PAM)
- אנליזת התנהגות משתמשים ויישויות (UEBA)
- תגובה אוטומטית לתקריות
סיכום
בסופו של דבר, האחריות היא על ה-CISO להגיש באופן סדיר ומקיף את המשמעות של אבטחת סייבר למועצת המנהלים. חוסר פעולה מצדכם יכול להוביל לאי קבלת תשומת לב או מימון מספיק ליוזמות האבטחה שלכם, ולפגיעות באבטחה ובמוניטין של הארגון.
עקבו אחרי שיטות העבודה המומלצות שלנו לדיווח על אבטחת סייבר למועצה בשילוב עם יכולות הדיווח והביקורת של Syteca כדי לפשט את התקשורת עם מועצת המנהלים שלכם.
