محاذاة الأمن السيبراني والأعمال: لم يقل احد انها كانت سهله
![](https://www.tenable.com/sites/default/files/images/articles/Forrester%20Study%20Aligning%20Cybersecurity%20and%20the%20Business%20Tenable%20Blog%201.jpg)
الأخبار السيئة؟ هناك انفصال بين الأعمال والأمن السيبراني. الاخبار الجيدة؟ يمكن لمحاذاةهم أن تحدث فرقا كبيرا.
إذا كنت قد عملت بصفتك CISO أو CSO أو أي قائد آخر للأمن السيبراني لأي فترة زمنية ، فمن المحتمل أن يكون لديك رئيس تنفيذي أو عضو مجلس إدارة أو مسؤول تنفيذي كبير آخر يسألك "ما مدى أماننا؟" على أساس متكرر إلى حد ما. وأنت تعلم أيضًا أن الإجابة على هذا السؤال ليست سهلة كما قد تبدو.
في الوقت الذي تتغير فيه مخاطر المؤسسات بسرعة - تدخل الأوبئة والركود الاقتصادي والعمل عن بُعد - فإن الهجمات الإلكترونية والتهديدات المزدهرة في جميع أنحاء العالم لا تؤدي فقط إلى تضخيم كل خطر ، بل رفعت الأمن السيبراني إلى موضوع تدقيق على مستوى مجلس الإدارة. ومع ذلك ، فإن أولئك منا على الخطوط الأمامية يواجهون مجموعة من التحديات مما يجعل من الصعب تزويد قادة الأعمال لدينا بصورة واضحة عن وضع الأمن السيبراني لمنظمتنا.
مع التركيز على تسليط الضوء على بعض هذه التحديات الرئيسية ومساعدة قادة الأمن على بدء حوار هادف مع نظرائهم في العمل ، كلفت Tenable شركة Forrester Consulting بإجراء مسح عبر الإنترنت لـ 416 أمنًا و 425 مديرًا تنفيذيًا للأعمال ودراسة من النتائج لفحص استراتيجيات الأمن السيبراني و الممارسات في الشركات المتوسطة إلى الكبيرة. الدراسة الناتجة ، صعود تنفيذي أمن الأعمال التجارية، يكشف عن انفصال بين توقعات الأعمال والواقع الذي يواجه قادة الأمن. لكنه يكشف أيضًا عن ربما أكبر فرصة فردية تواجه المؤسسات الرقمية اليوم - رفع دور CISO إلى مكانة متساوية مثل الأدوار التنفيذية الأخرى.
المستقبل ملك لقائد الأمن السيبراني المتوافق مع الأعمال
تكشف الدراسة عن أربعة محاور رئيسية:
-
تزدهر تهديدات الأمن السيبراني وسط مناخ من عدم اليقين ، مما يجعلها موضوعًا يستحق الظهور على مستوى مجلس الإدارة. الغالبية العظمى من المنظمات (94٪) شهدت تأثيرًا على الأعمال التجارية1 هجوم إلكتروني أو حل وسط خلال الأشهر الـ 12 الماضية. قال ما يقرب من الثلثين (65٪) إن هذه الهجمات تضمنت أصول تقنية تشغيلية (OT).
-
يرغب قادة الأعمال في الحصول على صورة واضحة لموقف الأمن السيبراني لمنظماتهم ، لكن نظرائهم في مجال الأمن يكافحون لتوفيرها. يقول أربعة فقط من كل 10 قادة أمنيين إنهم يستطيعون الإجابة على السؤال ، "ما مدى أمننا أو تعرضنا للخطر؟" بمستوى عالٍ من الثقة.
-
هناك انقطاع في كيفية فهم الشركات للمخاطر الإلكترونية وإدارتها. يقوم أقل من 50٪ من قادة الأمن بتأطير تأثير تهديدات الأمن السيبراني في سياق مخاطر عمل محددة. يقول نصف قادة الأمن فقط (51٪) إن مؤسساتهم الأمنية تعمل مع أصحاب المصلحة في الأعمال لمواءمة أهداف التكلفة والأداء وتقليل المخاطر مع احتياجات العمل. أفاد أربعة فقط من كل 10 قادة أمن (43٪) أنهم يراجعون بانتظام مقاييس أداء مؤسسة الأمان مع أصحاب المصلحة في الأعمال.
-
يحتاج الأمن السيبراني إلى التطور كاستراتيجية عمل. لا يمكن أن يحدث هذا حتى يكون لقادة الأمن رؤية أفضل لسطح هجومهم. أفاد ما يزيد قليلاً عن نصف قادة الأمن أن مؤسساتهم الأمنية لديها فهم شامل وتقييم لسطح هجوم المنظمة بالكامل وأن أقل من 50٪ من المؤسسات الأمنية تستخدم مقاييس التهديد السياقية لقياس المخاطر الإلكترونية لمنظماتهم. وهذا يعني أن قدرتها على تحليل المخاطر السيبرانية وتحديد أولوياتها وتنفيذها بناءً على أهمية الأعمال وسياق التهديد محدودة.
تُظهر الدراسة أنه عندما يتم التوافق بين قادة الأمن والأعمال حول بيانات مخاطر الأعمال المتفق عليها ، فإنهم يقدمون نتائج مهمة يمكن إثباتها. من المرجح أن يكون القائد الأمني المتوافق مع الأعمال التجارية على ثقة كبيرة بقدرته على الإبلاغ عن مستوى الأمان أو المخاطر في مؤسساته بمقدار ثمانية أضعاف. أكثر بروزًا في المناخ الاقتصادي اليوم ، مع الانكماش الاقتصادي العالمي الذي دفع المنظمات إلى إعادة تقييم إنفاقها: 85٪ من قادة الأمن المتوافقين مع الأعمال لديهم مقاييس لتتبع عائد الاستثمار للأمن السيبراني والتأثير على أداء الأعمال مقابل 25٪ فقط من أقرانهم الأكثر تفاعلاً وانعزالاً.
كما أشار دان بودين ، رئيس CISO في سينتارا للرعاية الصحية في مقابلة مع Tenable العام الماضي: "في المناخ اليوم ، هناك الكثير من التركيز من المجتمع حول قيام الشركات بإدارة المخاطر بشكل أفضل ، يريد كل فريق قيادي وكل مجلس إدارة في كل مؤسسة أن يكون جزءًا من قصة حل المشكلة. إذا كان بإمكانك إعطائهم بيانات جيدة حول التعرض ، وما الأشياء التي نحتاج فعلاً إلى القيام بها ، فهم يفهمون البيانات ، ويمكنهم الارتباط بالبيانات. إنهم يريدون أن يكونوا جزءًا من القصة لمساعدتك في حل المشكلة وإدارة المخاطر بشكل أفضل ".
من أجل تحقيق التوافق ، يحتاج CISOs وغيرهم من قادة الأمن وإدارة المخاطر إلى المزيج الصحيح من التكنولوجيا والبيانات والعمليات والأشخاص. على سبيل المثال ، الغالبية العظمى من المنظمات المتوافقة مع الأعمال (80٪) لديها مسؤول أمن معلومات الأعمال (BISO) أو مسمى مشابه ، مقارنة بـ 35٪ فقط من نظرائهم الأقل توافقًا. تكشف الدراسة أيضًا أن قادة الأمن المتوافقين مع الأعمال التجارية يتفوقون على نظرائهم الأكثر تفاعلًا والمنعزلة في أتمتة عمليات تقييم الثغرات الأمنية الرئيسية بهوامش من +49 إلى +66 نقطة مئوية.
1يتعلق "التأثير على الأعمال" بهجوم إلكتروني أو حل وسط أدى إلى فقدان العميل أو الموظف أو أي بيانات سرية أخرى ؛ انقطاع العمليات اليومية ؛ دفع تعويضات برامج الفدية ؛ الخسارة المالية أو السرقة ؛ و / أو سرقة الملكية الفكرية.
اقرأ سلسلة المدونات: كيف تصبح قائدًا للأمن السيبراني متوافقًا مع الأعمال
ركزت المدونات في هذه السلسلة على تحديات المواءمة بين الأمن السيبراني والأعمال و لماذا يكافح قادة الأمن السيبراني للإجابة على السؤال "إلى أي مدى نحن آمنون أو معرضون للخطر؟". نحن أيضا فحصنا ما تكشفه استراتيجيات الاستجابة لـ COVID-19 عن انقطاع الاتصال بين الأعمال التجارية والإلكترونية، ناقش لماذا تقصر مقاييس الأمن السيبراني الحالية عند الإبلاغ عن المخاطر السيبرانية، استكشافها خمس خطوات لتحقيق التوافق مع الأعمال وقدمت نظرة على يوم في حياة قائد الأمن السيبراني المتوافق مع الأعمال.
تعرف على المزيد
مقالات ذات صلة
- Reports
- Research Reports
- Threat Intelligence
- Vulnerability Management