Καθώς το τοπίο κινδύνου γίνεται πιο περίπλοκο, τα διοικητικά συμβούλια έχουν συνειδητοποιήσει ότι ο κίνδυνος στον κυβερνοχώρο μπορεί να αποτελέσει σημαντική λειτουργική απειλή για τις επιχειρήσεις. Μια έρευνα της Gartner στο Διοικητικό Συμβούλιο το 2022 διαπίστωσε ότι το 88% των ερωτηθέντων θεωρούσε τον κίνδυνο κυβερνοασφάλειας ως επιχειρηματικό κίνδυνο. Αν και είναι ενθαρρυντικό να βλέπουμε τα διοικητικά συμβούλια να θεωρούν τον κίνδυνο στον κυβερνοχώρο ως επιχειρηματικό κίνδυνο, οι ηγέτες των επιχειρήσεων ενδέχεται να μην εμπλέκονται σε κρίσιμες αποφάσεις για την ασφάλεια στον κυβερνοχώρο.
Η έκθεση Gartner παρατηρεί ότι οι ηγέτες επιχειρήσεων σε έναν οργανισμό δεν είναι υπεύθυνοι για την ασφάλεια του οργανισμού. Συνήθως είναι η ηγεσία της πληροφορικής, κυρίως οι CISO ή οι CIO που είναι υπεύθυνες για την ασφάλεια στον κυβερνοχώρο. Ωστόσο, οι ηγέτες των επιχειρήσεων λαμβάνουν αποφάσεις κάθε μέρα. Πολλές από αυτές τις αποφάσεις μπορούν να εκθέσουν τον οργανισμό σε πιθανές απειλές. Ειδικά αν γίνονται χωρίς να συμβουλευτείτε τον CIO ή τους CISO.
Η κυβερνοασφάλεια πρέπει να είναι μια επιχειρηματική απόφαση. Αυτό μπορεί να συμβεί μόνο εάν η λογοδοσία και η λήψη αποφάσεων γίνουν κοινή ευθύνη εντός του οργανισμού. Δείτε πώς οι οργανισμοί μπορούν να διαχειριστούν την ασφάλεια στον κυβερνοχώρο ως επιχειρηματική απόφαση.
Ενεργοποίηση συνομιλιών με όρεξη στον κυβερνοχώρο
Κατά τη διαχείριση της κυβερνοασφάλειας, οι οργανισμοί έχουν την αποστολή να λάβουν δύο σημαντικές αποφάσεις κινδύνου – Πόσο κίνδυνο είναι διατεθειμένος να δεχτεί ο οργανισμός και πώς θα επιτύχει τα επιθυμητά επίπεδα έκθεσης στον κίνδυνο;
Αυτές οι αποφάσεις θα πρέπει να λαμβάνονται από τους ηγέτες των επιχειρήσεων. Αλλά μπορεί να μην είναι όλοι οι ηγέτες των επιχειρήσεων με γνώσεις τεχνολογίας. Για παράδειγμα, μπορεί να μην ξέρουν πώς να αξιολογήσουν την έκθεση σε κίνδυνο. Οι CIO και οι CISO πρέπει να εμπλακούν για να βοηθήσουν τους μη τεχνολογικούς φορείς να κατανοήσουν τον επιχειρηματικό αντίκτυπο όσον αφορά τα λειτουργικά αποτελέσματα.
Με την ανάπτυξη ισχυρών προγραμμάτων διαχείρισης κινδύνου, οι CIO και οι CISO μπορούν να βοηθήσουν τους ηγέτες επιχειρήσεων εκτός τεχνολογίας να κατανοήσουν καλύτερα την όρεξή τους για κινδύνους. Εντοπίζοντας προληπτικά τους σημαντικούς κινδύνους και, δημιουργώντας ισχυρούς ελέγχους γύρω τους, μπορούν να τους βοηθήσουν να αποφασίσουν μέτρα που οδηγούν σε μεγαλύτερη ανθεκτικότητα και καλύτερη επιχειρηματική απόδοση.
Οι τεχνικές και τα εργαλεία ποσοτικοποίησης του κινδύνου στον κυβερνοχώρο που βοηθούν στην επικοινωνία του κινδύνου με απλό και κατανοητό τρόπο, είναι χρήσιμα κατά την ποσοτικοποίηση της λειτουργικής διαταραχής που είναι διατεθειμένη να δεχτεί η επιχείρηση, σε χρηματικούς όρους.
Μοντέλα ποσοτικοποίησης κινδύνου, όπως η Ανάλυση Παραγόντων Κινδύνου Πληροφοριών (FAIR TM ) μπορούν να βοηθήσουν τους οργανισμούς να μετατρέψουν τους κινδύνους δεδομένων σε χρηματοοικονομικούς κινδύνους. Το FAIR είναι ένα διεθνές πρότυπο ποσοτικό μοντέλο για την ασφάλεια των πληροφοριών και την αξιολόγηση λειτουργικού κινδύνου. Βοηθά στην κατανόηση, ανάλυση και ποσοτικοποίηση του κινδύνου σε χρηματοοικονομικές επιπτώσεις και είναι μια ολοκληρωμένη προσέγγιση για τη διαχείριση κινδύνων που λαμβάνει υπόψη τον ποικίλο και βαθύ αντίκτυπο των παραβιάσεων και των απειλών ασφαλείας.
Καθορισμός λειτουργικών ορίων με βάση την όρεξη για κινδύνους
Μόλις τα ενδιαφερόμενα μέρη των επιχειρήσεων υπολογίσουν την όρεξή τους για ανάληψη κινδύνων, οι ηγέτες τεχνολογικού κινδύνου αναλαμβάνουν το προβάδισμα στην άρθρωση του τρόπου επίτευξης υπολειπόμενων επιπέδων κινδύνου εντός ανεκτών ορίων. Οι CISO κάνουν πολλά από αυτή τη μετάφραση οι ίδιοι. Θα πρέπει να ανακαλύψουν από πού προέρχεται κυρίως ο κίνδυνος, δηλαδή να μελετήσουν τις βαθύτερες αιτίες και τις πηγές κινδύνου. Πρέπει να ελέγξουν εάν η μη ασφαλής συμπεριφορά των εργαζομένων, η κακή υγιεινή του ελέγχου ή οτιδήποτε άλλο είναι ο κύριος δείκτης κινδύνου και ποια όρια πρέπει να τεθούν για αυτούς.
Τεχνολογίες όπως το λογισμικό διαχείρισης επιχειρηματικού κινδύνου (ERM), μπορούν να χρησιμοποιηθούν για τη μέτρηση και την παρακολούθηση βασικών δεικτών για κινδύνους (KRIs), ελέγχους (KCI) και απόδοσης (KPIs) και για τον καθορισμό επιχειρησιακών ορίων. Μια ολοκληρωμένη προσέγγιση διαχείρισης κινδύνων που υποστηρίζεται από αναλυτικά στοιχεία και αυτοματισμό εξοπλίζει τους οργανισμούς με μια σαφέστερη άποψη και αξιόπιστες γνώσεις σχετικά με τους υπάρχοντες και μελλοντικούς κινδύνους, καθιστώντας ευκολότερη την αξιολόγηση του αντικτύπου τους στην επιχείρηση. Οπλισμένοι με αυτά τα δεδομένα, οι οργανισμοί μπορούν να αντεπεξέλθουν σε κρίσεις με ευελιξία και ανταπόκριση, με την ικανότητα να λαμβάνουν προληπτικά αποφάσεις με επίγνωση του κινδύνου.
Αναφορά σε ανώτερα ενδιαφερόμενα μέρη
Η επικοινωνία είναι μια σημαντική πτυχή της κυβερνοασφάλειας ως επιχειρηματική απόφαση.
Η έκθεση Gartner προτείνει τη χρήση κορυφαίων και καθυστερημένων δεικτών για την κοινοποίηση της τήρησης της όρεξης για κινδύνους σε ανώτερα ενδιαφερόμενα μέρη. Για παράδειγμα, οι δείκτες υστέρησης, όπως οι ώρες που χάνονται σε λειτουργίες, θα βοηθήσουν στην κατανόηση εάν ο αντίκτυπος των κινδύνων που σχετίζονται με τον κυβερνοχώρο βρίσκεται εντός ή εκτός του εύρους ανοχής τους. Ομοίως, οι κορυφαίοι δείκτες μπορούν να χρησιμοποιηθούν για να γνωστοποιήσουν εάν οι πιθανότητες μελλοντικής απώλειας αυξάνονται, μειώνονται ή παραμένουν οι ίδιες.
Οι ηγέτες τεχνολογίας θα πρέπει να είναι σε θέση να παρέχουν στην επιχείρηση μια πανοραμική άποψη των κινδύνων και των τάσεων που θα βοηθήσουν τους υπεύθυνους λήψης αποφάσεων να ανταποκριθούν ταχύτερα στους αναδυόμενους κινδύνους ή στα μεταβαλλόμενα προφίλ κινδύνου. Η χρήση διαδραστικών πινάκων ελέγχου στελεχών και η προηγμένη απεικόνιση βασικών μετρήσεων επιτρέπει την πρόσβαση σε πληροφορίες σε πραγματικό χρόνο σχετικά με τα συστήματα διαχείρισης κινδύνου σε ολόκληρο τον οργανισμό. Οι CISO και οι CIO θα πρέπει επίσης να υπερβαίνουν τις μετρήσεις και τους δείκτες για να δημιουργήσουν μια λειτουργική αφήγηση που θα βοηθήσει τα στελέχη των επιχειρήσεων να λαμβάνουν τεκμηριωμένες αποφάσεις.
Βεβαιωθείτε ότι η επιχείρηση και η ανάληψη κινδύνου βρίσκονται στο επίκεντρο της λήψης αποφάσεων
Συνοψίζοντας όλα, η διαχείριση της κυβερνοασφάλειας ως επιχειρηματικής απόφασης είναι δυνατή εάν οι οργανισμοί θέσουν την επιχείρηση και την όρεξη για κυβερνοκινδύνους στο επίκεντρο της λήψης αποφάσεων. Ο καθορισμός της διάθεσης για κινδύνους όσον αφορά τον αντίκτυπο της επιχείρησης, ο καθορισμός ορίων και η κοινοποίηση της τήρησης είναι όλα ζωτικής σημασίας για τη διαδικασία.
Ευγενική παραχώρηση- https://www.expresscomputer.in/guest-blogs/managing-cybersecurity-as-a-business-decision/93213/
