Navzdory incidentům, které se dostaly na titulní stránky novin, a velkému zájmu vrcholového managementu a představenstva se mnoho bezpečnostních lídrů stále potýká se získáním podpory vedení nebo mezioborové podpory. Problémem nejsou samotná data. Naopak, často jde o to, jak sdělení sdělíte. Mnoho bezpečnostních týmů je pohřbeno pod hromadami informací z řady navzájem propojených bezpečnostních řešení. To ztěžuje prezentaci konsolidovaného a srozumitelného přehledu o kybernetických rizicích.
To vyvolává několik otázek. Zaprvé, co můžete udělat pro vyřešení tohoto komunikačního problému a zlepšení způsobu, jakým technické týmy sdělují rizika netechnickým osobám s rozhodovací pravomocí? Zadruhé, jak mohou bezpečnostní týmy poskytnout kontext svým IT protějškům, aby mohli efektivně upřednostňovat úsilí o nápravu? Jedním ze způsobů je přechod na řízení expozice.
Řízení expozice poskytuje vedoucím pracovníkům v oblasti bezpečnosti procesy a technologie, které potřebují k neustálému hodnocení dostupnosti, využitelnosti a kritičnosti digitálních aktiv napříč všemi systémy, aplikacemi, zařízeními, zdroji a identitami. Díky tomu mohou vedoucí pracovníci v oblasti bezpečnosti proaktivně odpovídat na otázky týkající se rizika expozice ve své organizaci.
Dobře provedený program řízení expozice vám může pomoci shrnout složité problémy a obrovské objemy dat do jasných a srozumitelných metrik. Také se budete moci vyhnout příliš technickému jazyku, což pomůže zaujmout vedení a členy představenstva. A vyhnete se zahlcování svých IT týmů nekonečnými úkoly tím, že jim poskytnete reálné rady, co opravit jako první a proč.
Mluvte jazykem, kterému rozumí představenstvo a vrcholové vedení
Bezpečnostní profesionálové rozumí technickému žargonu. Ale většina ostatních ne. Členové představenstva se zaměřují na narušení provozu, odpovědnost a náklady. Vedoucí pracovníci na úrovni C se obávají celkového strategického směřování podniku a všech rizik, která by mohla ohrozit budoucnost organizace. Jiní manažeři, zejména ti, kteří řídí určitou obchodní linii, se striktně zaměřují na své příslušné oblasti. Oceňují bezpečnost, ale pravděpodobně neznají terminologii a postrádají kontext potřebný k pochopení kybernetických rizik.
Řízení expozice pomáhá přeložit technickou složitost do jasného a stručného obchodního jazyka. Tento překlad je zásadní pro získání podpory vedení a pro posun v oblasti bezpečnosti z reaktivního přístupu ke strategickému myšlení.
Jorge Orchilles, vrchní ředitel pro připravenost a proaktivní zabezpečení ve společnosti Verizon, to ve svém příspěvku pro Akademii řízení expozice dobře shrnul: „Místo toho, abychom předkládali dlouhé seznamy zranitelností, které pro netechnické vedoucí pracovníky nic neznamenají, můžeme prezentovat jasný obraz v několika klíčových bodech.“
Prostřihněte hluk a soustřeďte se na to, na čem záleží
Hlavní překážkou, která brání jasné komunikaci v kybernetické bezpečnosti, je informační zahlcení, kdy jsou týmy často pohřbeny v upozorněních a datech, z nichž velká část je jen šum.
Jak nedávno napsal Robert Huber, hlavní bezpečnostní ředitel a vedoucí výzkumu společnosti Tenable: „Ne všechna rizika jsou si rovna.“ Říká, že pokud považujete všechno za nejvyšší prioritu, pak nic není.
Program řízení expozice může organizacím pomoci zaměřit se na problémy, které představují skutečné narušení podnikání. Tato jasnost, která rozlišuje mezi smysluplnými signály a šumem v pozadí, je neocenitelná pro přijímání lepších a srozumitelnějších rozhodnutí. Huber říká, že tento přístup umožnil jeho týmu zaměřit se na kritické problémy, aby se mohli soustředit na to, na čem skutečně záleží, a dosáhnout správných výsledků.
Komunikujte pro podporu spolupráce
Efektivní řízení kybernetických rizik může být brzděno, pokud IT a bezpečnost fungují v oddělených oblastech a hovoří různými jazyky, což může vytvářet napětí a promarněné příležitosti.
Platforma pro správu rizik může nabídnout společný rámec a sdílený pohled na rizika jak pro bezpečnost, tak pro IT. CIO společnosti Tenable, Patricia Grant, vnímá zabezpečení podniku jako společnou odpovědnost.
„Bezpečnostní tým určuje situaci,“ říká. „Ale IT oddělení vlastní infrastrukturu. Správa expozice nám dává společný jazyk, ve kterém můžeme fungovat.“
Grant dodává, že když dokážete problém zasadit do kontextu rizika, které představuje, a ne jen o něm přemýšlet jako o další záplatě, dosáhnete mnohem lepšího zapojení. Ponaučení z toho je, že jasná komunikace je víc než jen drobnost. Může vést k akci. Navíc, když se technické týmy a obchodní partneři shodnou, shodnou se na prioritách a dosahují pokroku.
Přejděte od slepých míst k vhledům
Úspěšné řízení expozice přesahuje pouhé upřednostňování známých zranitelností. Poskytuje úplný obraz o nedostatcích ve všech vašich prostředích.
„Jako bezpečnostní profesionálové jsme se museli odklonit od vnímání kybernetické bezpečnosti jako pouhého ‚skenování-oprava-znovuskenování‘,“ říká Arnie Cabral, hlavní bezpečnostní inženýr ve společnosti Tenable, a sdílí Grantovy názory. „Správa expozice byla katalyzátorem tohoto posunu a dává nám mnohem širší perspektivu s možností zúžit záběr.“
Tento nový pohled na věc může přinést překvapivé výhody.
„Naše platforma pro správu expozice se stala naším de facto nástrojem pro inventuru,“ říká Cabral. „Byly chvíle, kdy se lidé ptali: ‚Co tady toto aktivum dělá?‘ Neměli jsme jednoduchou odpověď. Teď ji máme. Jsme schopni transformovat data do skutečně použitelných informací se skutečným vhledem.“
Tato transparentnost v kombinaci s jasnou komunikací o rizikových důsledcích těchto zjištění pomáhá jeho týmu propojit se s širší škálou zainteresovaných stran. „Děláme víc než jen řešíme rizika,“ říká. „Pomáháme firmě jako celku pochopit její rizika a v případě potřeby podniknout kroky.“
Jídlo s sebou
Umožněním centralizované perspektivy může správa expozice podpořit přímočařejší komunikaci v celé organizaci s konzistentními metrikami a snadno srozumitelnými vizuály.
Techničtí specialisté samozřejmě mají přístup k podrobným datům, která jsou pro jejich práci nezbytná. Zároveň však vedoucí pracovníci a členové představenstva získají jasnou představu o celkovém bezpečnostním stavu organizace. Uvidí oblasti, které vyžadují pozornost, aniž by museli luštit složité technické detaily.
Všichni členové organizace – techničtí i netechničtí – mohou porovnávat výkonnost s protějšky v oboru a sledovat klíčové ukazatele výkonnosti (KPI) v průběhu času. Toto benchmarking pomáhá poskytnout neocenitelný kontext a odpovídá na běžnou otázku, která nás všechny trápí: „Jak si organizace vede?“
Tyto cenné perspektivy umožňují cílenější nasazení zdrojů a budování spolupráce mezi různými obchodními jednotkami tím, že poskytují metriky, na kterých jim záleží.
Správa expozice v konečném důsledku pomáhá organizacím překonat omezení izolovaných dat a nesrozumitelné terminologie. Vytváří komplexní povědomí o celém povrchu útoku, což umožňuje bezpečnostním manažerům jasně definovat riziko, prokázat pokrok a pomáhá všem pochopit jejich roli v kybernetické připravenosti organizace.
Pro více informací nás prosím kontaktujte.
Zdroj: Tenable
