Dewan yang berjuang dengan peran mereka dalam memberikan pengawasan keamanan siber menciptakan masalah keamanan bagi organisasi mereka. Meskipun dewan mengatakan keamanan siber adalah prioritas, jalan mereka masih panjang untuk membantu organisasi mereka menjadi tangguh terhadap serangan siber. Dan dengan tidak berfokus pada ketahanan, dewan membuat perusahaan mereka gagal.
Kami mensurvei 600 anggota dewan tentang sikap dan aktivitas mereka seputar keamanan siber. Riset kami menunjukkan bahwa terlepas dari investasi waktu dan uang, sebagian besar direktur (65%) masih percaya bahwa organisasi mereka berisiko mengalami serangan siber dalam 12 bulan ke depan, dan hampir setengahnya percaya bahwa mereka tidak siap menghadapi serangan yang ditargetkan. Sayangnya, meningkatnya kesadaran akan risiko dunia maya ini tidak mendorong kesiapsiagaan yang lebih baik. Dalam artikel ini kami merinci beberapa cara perusahaan dapat mulai mengembangkan kesadaran keamanan siber yang lebih baik.
Interaksi dewan dengan CISO kurang
Hanya 69% anggota dewan yang menanggapi bertemu langsung dengan kepala petugas keamanan informasi (CISO) mereka. Kurang dari setengah (47%) anggota bekerja di dewan yang berinteraksi dengan CISO mereka secara teratur, dan hampir sepertiga dari mereka hanya melihat CISO mereka di presentasi dewan. Ini berarti bahwa direktur dan pemimpin keamanan menghabiskan jauh dari cukup waktu bersama untuk melakukan dialog yang bermakna tentang prioritas dan strategi keamanan siber. Selain itu, penelitian kami menemukan bahwa meskipun 65% anggota dewan menganggap organisasi mereka berisiko mengalami serangan siber yang material, hanya 48% CISO yang berpendapat demikian. Kesenjangan komunikasi dan ketidakselarasan dewan-CISO ini menghambat kemajuan dalam keamanan siber.
Temuan kami menunjukkan bahwa pemutusan CISO-board diperburuk oleh ketidaktahuan mereka satu sama lain pada tingkat pribadi (mereka tidak menghabiskan cukup waktu bersama untuk mengenal satu sama lain dan sikap serta prioritas mereka dengan cara yang produktif). Yang juga berkontribusi terhadap keterputusan ini adalah kesulitan CISO dalam menerjemahkan jargon teknis ke dalam bahasa bisnis, seperti risiko, reputasi, dan ketahanan.
Untuk menjalin kemitraan strategis dengan CISO, keterlibatan direktur-CISO di antara rapat dewan akan memungkinkan direktur untuk mengajukan pertanyaan yang lebih baik dan memahami jawaban yang mereka terima.
Dewan fokus pada perlindungan ketika mereka perlu fokus pada ketahanan
Terlepas dari persepsi risiko yang tinggi, survei kami menemukan bahwa 76% anggota dewan percaya bahwa mereka telah melakukan investasi yang memadai dalam perlindungan dunia maya. Selain itu, 87% mengharapkan anggaran keamanan siber mereka tumbuh dalam 12 bulan ke depan.
Namun, investasi mereka mungkin tidak berada di area yang tepat. Dalam rapat dewan tipikal, presentasi keamanan siber biasanya mencakup ancaman dan tindakan/teknologi yang diterapkan perusahaan untuk melindunginya. Misalnya, dalam banyak rapat dewan, topik utamanya adalah seberapa sering perusahaan melakukan tes phishing dan hasil statistiknya. Bagi kami, itu adalah perspektif pengawasan dewan yang salah. Kami tahu kami tidak dapat sepenuhnya dilindungi, tidak peduli berapa banyak uang yang kami investasikan dalam teknologi atau program untuk menghentikan serangan dunia maya. Meskipun menghabiskan sumber daya untuk melindungi aset kita sangat penting, membatasi diskusi pada perlindungan membuat kita siap menghadapi bencana.
Sebaliknya, percakapan perlu fokus pada ketahanan. Kita harus berasumsi, untuk tujuan perencanaan, bahwa kita akan mengalami beberapa jenis serangan dunia maya, dan mempersiapkan organisasi kita untuk merespons dan memulihkan dengan kerusakan, biaya, dan dampak reputasi yang minimal. Misalnya, alih-alih merinci dalam rapat dewan tentang bagaimana organisasi kita dibentuk untuk menanggapi suatu insiden, kita harus fokus pada apa risiko terbesar yang mungkin terjadi dan bagaimana kita bersiap untuk segera pulih dari kerusakan jika situasi itu terjadi. .
Untuk mengubah fokus mereka ke ketahanan sebagai tujuan utama keamanan dunia maya, direktur dapat meminta pemimpin operasi mereka untuk membuat visi tentang bagaimana perusahaan akan merespons dan pulih saat terjadi serangan. Meminimalkan kemungkinan serangan siber yang berhasil sejak awal seharusnya hanya menjadi tujuan kedua.
Dewan melihat cybersecurity sebagai topik teknis, tetapi telah menjadi keharusan organisasi dan strategis
Hanya 67% anggota dewan yang percaya kesalahan manusia adalah kerentanan dunia maya terbesar mereka, meskipun temuan Forum Ekonomi Dunia menunjukkan bahwa kesalahan manusia menyumbang 95% dari insiden keamanan dunia maya. Ini mungkin menjadi indikator bahwa beberapa dewan tidak melihat risiko organisasi yang mereka hadapi. Selanjutnya, setengah dari peserta survei paling menghargai keahlian keamanan siber CISO, diikuti oleh keahlian teknis (44%) dan manajemen risiko (38%). Hal ini menunjukkan bahwa meskipun topik keamanan siber mungkin telah masuk ke dalam agenda, dewan masih melihatnya sebagai masalah teknis.
Ketika dewan melihat cybersecurity hanya sebagai topik teknis, itu menjadi topik yang terlalu operasional untuk diperhatikan dalam rapat mereka. Waktu terbatas dalam rapat dewan, sehingga sulit untuk mencakup semua nuansa yang diperlukan untuk pengawasan yang tepat. Direktur mungkin menghindar dari mengajukan pertanyaan sulit karena mereka merasa tidak cukup berpengetahuan tentang konsep teknis untuk mengartikulasikan pertanyaan dengan benar atau bahkan untuk memahami jawabannya. Melihat cybersecurity sebagai masalah organisasi mengubah diskusi dari tantangan teknis menjadi tantangan manajemen. Ketika cybersecurity dipandang sebagai keharusan strategis organisasi, itu menjadi relevan untuk diskusi tingkat dewan.
Dewan harus mengajukan pertanyaan seperti, “Apa risiko teknis terhadap bisnis kita dari potensi insiden keamanan siber?” “Apa yang kita lakukan untuk menahan kerusakan akibat realisasi risiko itu?” “Apa risiko organisasi dari potensi insiden dunia maya dan apa yang kami lakukan untuk pulih dengan cepat dari konsekuensinya?” Dan, “Apa risiko rantai pasokan dari potensi insiden keamanan dunia maya dan apa yang kami lakukan agar kami tidak kehilangan satu hari produksi?”
Komposisi sebagian besar dewan saat ini menciptakan kerentanan tambahan ketika dapat menciptakan pengawasan yang lebih kuat
Banyak dewan yang kami pelajari terdiri dari eksekutif yang sangat berpengalaman, pensiunan atau tidak, yang memiliki pengalaman luas dalam operasi, keuangan, penjualan, dan industri mereka. Tetapi hanya sedikit yang memiliki pengetahuan atau pengalaman keamanan siber. Pada tahun 2022, SEC mengusulkan rekomendasi yang lebih eksplisit untuk manajemen risiko keamanan siber, tata kelola, dan pengungkapan untuk perusahaan publik, dan diharapkan proposal ini akan menjadi persyaratan. Itu berarti dewan harus memiliki pengawasan yang lebih jelas terhadap risiko keamanan siber dan menyertakan keahlian keamanan siber secara eksplisit di dewan.
Banyak mantan eksekutif adalah pemimpin sebelum lingkungan cybersecurity saat ini, dan mungkin tidak membawa keahlian, atau bahkan pendekatan untuk mendapatkan keahlian tersebut, ke dewan mereka. Bukan berarti mereka adalah eksekutif yang tidak pantas menjabat sebagai direktur tanpa keahlian tersebut, tetapi dewan harus mengembangkan keahlian tersebut secara menyeluruh. Direksi harus membawa lebih dari sekadar keahlian teknis ke ruang rapat. Mereka juga harus memahami lingkungan, struktur keuangan, pengorbanan, dan portofolio risiko bisnis. Menemukan anggota dewan baru yang menghadirkan perpaduan yang tepat antara keahlian keamanan siber dan ketajaman bisnis merupakan tantangan.
Untuk menghadirkan keahlian keamanan siber ke dalam ruang rapat, komposisi dewan mungkin perlu diubah. Anggota dewan mungkin perlu mendapatkan keahlian keamanan siber melalui percakapan yang sering tentang risiko, pelatihan, dan program pengembangan keamanan siber, dan menambahkan kolega dengan latar belakang bisnis dan profesional yang sangat berbeda dari anggota dewan saat ini.
Gagal menunjukkan bahwa keamanan dunia maya adalah prioritas dewan mengirimkan pesan yang tidak diinginkan
Penelitian kami menemukan bahwa hampir seperempat ruang rapat tidak menganggap keamanan siber sebagai prioritas, dan banyak yang bahkan tidak membahas topik tersebut secara rutin. Beberapa dewan hanya memiliki satu presentasi pembaruan keamanan siber per tahun, dan presentasi tersebut biasanya berfokus pada seberapa terlindungi organisasi tersebut. Itu tidak memadai.
Menjadikan cybersecurity sebagai prioritas bagi dewan adalah sebuah komitmen, bukan sekadar pembaruan tahunan. Itu berarti membicarakannya di setiap rapat dewan, mendapatkan pembaruan di sela-sela rapat, mengajukan pertanyaan di luar apa yang disajikan, dan mengambil minat pribadi (seperti mengamankan diri sendiri, mengajukan pertanyaan dunia maya dan/atau berbagi cerita, menjadikan pahlawan dari mereka yang menunjukkan perilaku yang ingin dilihat dewan, dll.).
Misalnya, pesan apa yang akan dikirim ke pimpinan eksekutif organisasi jika, pada setiap rapat dewan, para anggota mengenali seorang “pahlawan” teladan yang secara pribadi telah melakukan sesuatu untuk meningkatkan ketahanan/keamanan perusahaan? Di sisi lain, jika dewan tidak meningkatkan permainan mereka dengan menunjukkan betapa pentingnya keamanan dunia maya bagi mereka, sengaja atau tidak, mereka mengomunikasikan bahwa dunia maya bukanlah prioritas.
Tindakan pribadi direktur mengirimkan pesan kepada para pemimpin senior. Dengan menjadikan keamanan dunia maya sebagai prioritas pribadi melalui tindakan dan investasi waktu dan perhatian, para direktur menunjukkan betapa pentingnya hal itu.
Dewan tahu mereka harus melakukan sesuatu yang berbeda. Rekomendasi SEC akan menyusun pengetahuan itu. Berita utama semakin menyoroti konsekuensi dari praktik keamanan siber yang buruk. Anggota dewan dengan pengalaman keamanan siber mencoba menarik perhatian sesama anggota. Dan anggota dewan ingin memberikan pengawasan, meskipun mereka tidak memiliki pertanyaan yang tepat untuk diajukan. Dewan perlu mendiskusikan risiko yang disebabkan oleh keamanan siber organisasi mereka dan mengevaluasi rencana untuk mengelola risiko tersebut. Dengan percakapan yang tepat tentang menjaga ketahanan perusahaan, mereka dapat mengambil langkah selanjutnya untuk memberikan pengawasan keamanan siber yang memadai.
Di website ini, kita menjamin dan senantiasa memprioritaskan kepuasan para bettor di dalam mendapatkan kluaran togel sidny hari ini Salah satunya adalah dengan menyediakan result pengeluaran sdy hari ini tercepat dan terbaru secara berkesinambungan dan pas waktu. Semua update terakhir untuk nomor pengeluaran sidney prize 2021 mampu kalian nikmati terhadap jam 14.00 WIB atau jam 2 siang. Dengan memberikan hasil result sdy tercepat maka para bettor tidak wajib kembali menunggu terlalu lama.
