Como os CISOs podem entrar em cima dos riscos cibernéticos

O papel do Diretor de Segurança da Informação (CISO) nunca foi tão difícil, pois os ataques cibernéticos se tornam cada vez mais prevalentes, sofisticados e prejudiciais. Como CISO, você também enfrenta uma pressão crescente dos reguladores e a crescente expectativa de agir em toda a suíte C, enquanto o tempo todo luta com uma escassez crescente de especialistas em segurança cibernética. As perguntas-chave para você como CISO incluem:

Success depends on your ability to navigate this complex and fast-shifting landscape. Key questions for you as a CISO include: 

1 Eu tenho uma estratégia clara e endossada pelo conselho para reduzir os riscos cibernéticos em acordar níveis aceitáveis? Isso inclui ter um plano claro e pragmático para abordar os riscos prioritários que estabelecem as principais atividades de remediação e a construção de capacidade necessária para aumentar a resiliência cibernética. Isso ajudará a criar confiança, definir a narrativa e garantir o nível certo de investimento. Você precisará trabalhar estrategicamente em todo o C-Suite para ajudar a dividir tópicos complexos e torná-los digeríveis e inteligíveis para executivos seniores. 

It’s important to ensure that there is clarity and alignment amongst the leadership on the cyber risk appetite and overall cyber strategy to achieve target risk positions. This includes having a clear, pragmatic plan to address the priority risks that sets out the major remediation activities and capability building required to increase cyber resilience. This will help build confidence, set the narrative and secure the right level of investment. You will need to work strategically across the C-suite to help break down complex topics and make them digestible and intelligible for senior executives. 

2 Temos o modelo operacional de segurança cibernética certa com responsabilidades claras entre propriedade, gerenciamento e supervisão do processo de gerenciamento de riscos? governança.  

There should be clear ‘lines of defence’ for cyber risk management, with ownership of the risks and operation of the associated controls being separated from risk management oversight and governance.  

Isso talvez seja ainda mais importante para a segurança cibernética do que em outras áreas de gerenciamento de riscos não financeiros, dada a complexidade do cenário de ameaças e a diversidade dos riscos, o que significa que nem sempre é possível medir objetivamente a eficácia do controle. 

3 Estamos promovendo uma cultura de segurança cibernética em toda a organização? Incentive as equipes e conselhos executivos a liderar a cultura de segurança em toda a organização, enfatizando sua compreensão, comunicação e ação sobre questões de segurança cibernética para o restante dos negócios.

Cyber defence must not just be seen as a security or IT exercise. Encourage executive teams and Boards to lead the security culture across the organization, emphasising their understanding, communication and action on cyber security issues to the rest of the business.

4 Eu tenho os recursos, habilidades e capacidades necessários para mitigar as ameaças cibernéticas de maneira eficaz? 

É provável que você precise investir em treinamento e desenvolvimento para que suas equipes de segurança cibernética lidem com ameaças sofisticadas e novas tecnologias. Com especialistas cibernéticos em falta, você pode considerar o talento e o aumento de talentos em funções como risco ou TI. Para melhorar a compreensão da liderança nos negócios, você também pode considerar as sessões de treinamento e conscientização em nível executivo para equipar melhor os líderes seniores para ter conversas produtivas sobre cibernética. 

5 Nosso objetivo é fazer parceria ou fornecedores cibernéticos da polícia? 

Você deve garantir a supervisão e o controle sobre seus relacionamentos de terceiros mais críticos, como realizar avaliações de risco e due diligence sempre que possível, garantindo que os protocolos de segurança robustos estejam em vigor em torno do compartilhamento de dados confidenciais. Mais importante, porém, o objetivo é construir relacionamentos e planos de resposta ensaiados coordenados para que o pior aconteça, você possa colaborar efetivamente com seus parceiros para conter incidentes rapidamente e restaurar os serviços. 

Como Berkeley pode ajudar

em Berkeley, temos experiência em ajudar os CISOs a responder a essas perguntas em todas as etapas de sua jornada cibernética. Podemos ajudá -lo a:

• Definir seu Estratégia cibernética para definir metas claras e garantir o alinhamento com a estratégia de negócios
• Deliver seu cibernético e o cibernético e a capacidade de resistência ao cibernamento e a capacidade de resistência ao cibernético e a capacidade de resistência ao cibernamento e na capacidade de resistência cibernética e na capacidade de resistência cibernética e na capacidade de resistência cibernética e na capacidade de resistência cibernética e na capacidade de resistência cibernética. Planejamentotransformation program
• Deliver cyber resilience capability uplifts in areas such as executive training, incident response preparation and business continuity planning
• Forneça projetos específicos em seu portfólio cibernético com o qual você pode estar lutando
• Reconstrua e fortaleça suas capacidades cibernéticas após o ataque cibernético
• Seção 166 Regulatório para atender a uma faixa de demandas internas e externas, incluindo | A equipe executiva, as partes interessadas do Conselho e do Conselho sobre como gerenciar riscos cibernéticos de maneira eficaz e aumentar sua resiliência cibernética.Section 166 regulatory reviews 
• Engage your executive team, Board and operational stakeholders on how to manage cyber risks effectively and increase your cyber resilience.