Como os Neds podem entrar em cima dos riscos cibernéticos
ataques cibernéticos estão se tornando cada vez mais prevalentes, sofisticados e prejudiciais. Mas, apesar das ameaças crescentes, os riscos cibernéticos nem sempre têm tempo suficiente, escrutínio e desafio do conselho. Em muitos casos, o uso excessivo de jargão técnico nos relatórios pode limitar as discussões.
É por isso que é tão importante que os diretores não executivos (NEDs) saibam as perguntas certas a serem feitas para cortar o jargão e garantir que as bases de segurança cibernética estão sendo cobertas. As perguntas -chave para você como um NED incluem:
1 Tenho uma visão clara do apetite, estratégia e plano de risco cibernético? Como membro do conselho, você deve ter um entendimento claro do apetite de risco da sua organização e poder influenciar como isso se aplica ao risco cibernético. Você também deve ter uma visão clara das posições de risco cibernético, as lacunas nas defesas e a estratégia e o planejamento de tratar dessas deficiências. Isso lhe dará confiança de que os riscos são entendidos e que o ritmo da remediação está alinhado com o apetite de risco da sua organização.
The ‘right’ approach demands balance – setting cyber risk appetite that balances the organization’s value chain and strategic differentiators with necessary controls. As a Board member, you should have a clear understanding of your organization’s risk appetite and be able to influence how this applies to cyber risk. You should also have a clear view of the cyber risk positions, the gaps in defences and the costed strategy and plan to address these deficiencies. This will give you confidence that the risks are understood and that the pace of remediation is aligned with your organization’s risk appetite.
Você também deve estar vendo uma avaliação de maturidade de capacidade cibernética independente (por exemplo anual) em relação a uma estrutura padrão da indústria, como a estrutura de segurança cibernética do NIST. As estatísticas de relatórios que você recebe precisam demonstrar claramente os riscos cibernéticos em termos comerciais e refletir as métricas que são importantes em sua organização quando se trata de medir a eficácia do controle, as contas a serem entregues contra esses controles e o entendimento de quaisquer ações necessárias para manter o progresso contra suas metas de risco definidas. Portanto, é importante que sua organização possa destilar o risco de segurança cibernética em uma avaliação inteligível que você pode entender facilmente e, portanto, supervisionar e desafiar para garantir que a organização esteja gerenciando o risco de maneira eficaz e aumentando sua postura de risco cibernético.
2Am I receiving the ongoing reports needed to understand key cyber risks and assess how they are being managed and mitigated?
The top-level risk dashboards and other reporting statistics you receive need to clearly demonstrate the cyber risks in business terms and reflect the metrics that matter within your organization when it comes to measuring control effectiveness, the accountabilities to deliver against those controls and the understanding of any actions needed to maintain progress against your defined risk targets.
Cyber security assessments can often be laden with technical jargon, lack business context or be too generic to translate into meaningful targets and interventions. It’s therefore important that your organization can distil cyber security risk into an intelligible assessment that you can easily understood and therefore oversee and challenge to ensure the organization is managing the risk effectively and increasing its cyber risk posture.
3 Estamos tendo conversas suficientemente produtivas no quadro sobre segurança cibernética? Você deve discutir como a mudança do cenário de ameaças está afetando a exposição ao risco de sua organização e se são necessárias alterações no plano de investimento acordado para remediação como resultado. Você também deve revisar continuamente as posições de risco atual e -alvo para garantir que elas reflitam o contexto atual e que o progresso necessário esteja sendo feito para melhorar a postura de risco da organização. Se você estiver tendo discussões de controle ou orientado para métricas, em vez de discussões orientadas a riscos, pode precisar haver uma reprodução de foco. Podemos ajudar a:
Open and honest conversations are critical in ensuring that risks are understood and not ‘brushed under the carpet’ or hidden in technical jargon. You should be discussing how the changing threat landscape is impacting your organization’s risk exposure, and whether any changes are required to the agreed investment plan for remediation as a result. You should also be continually reviewing the current and target risk positions to ensure they reflect the current context and that the necessary progress is being made in improving the organization’s risk posture. If you’re having control or metric-oriented discussions rather than risk-oriented discussions, there may need to be a re-balance of focus.
How Berkeley can help
At Berkeley, we have experience of helping organizations through all stages of their cyber journey. We can help to:
- Definir seu Estratégia cibernética para definir metas claras e garantir o alinhamento com a estratégia de negócios
- entrega seu cyber Resposta de transformação || 875
- Deliver cyber resilience capability uplifts in areas such as executive training, incident response preparation and business continuity planning
- Forneça projetos específicos em seu portfólio cibernético com o qual você pode estar lutando
- Reconstrua e fortaleça suas capacidades cibernéticas após o ataque cibernético
- =. Os riscos cibernéticos de maneira eficaz e aumentam sua resiliência cibernética.
- Engage your executive team, Board and operational stakeholders on how to manage cyber risks effectively and increase your cyber resilience.
Get on top of your cyber risks
Discover the key cyber-related questions other members of your leadership team should consider
CEO
Strengthen your security and readiness to respond. Leia mais.
CFO
Verifique se as partes interessadas externas estão satisfeitas. Leia mais.
Head of Procurement
Ensure your supply chain security. Leia mais.
CISO
Improve your ability to navigate the cyber landscape. Leia mais.
CRO
Aprimore sua segurança e gerenciamento de riscos. Leia mais.
CIO
Allocate the right roles and responsibilities. Leia mais.
CHRO
Crie uma cultura de segurança em toda a sua organização. Leia mais.
Related services
The author
