محاذاة الأمن السيبراني والأعمال: لم يقل احد انها كانت سهله
الأخبار السيئة؟ هناك انفصال بين الأعمال والأمن السيبراني. الاخبار الجيدة؟ يمكن لمحاذاةهم أن تحدث فرقا كبيرا.
إذا كنت قد عملت بصفتك CISO أو CSO أو أي قائد آخر للأمن السيبراني لأي فترة زمنية ، فمن المحتمل أن يكون لديك رئيس تنفيذي أو عضو مجلس إدارة أو مسؤول تنفيذي كبير آخر يسألك "ما مدى أماننا؟" على أساس متكرر إلى حد ما. وأنت تعلم أيضًا أن الإجابة على هذا السؤال ليست سهلة كما قد تبدو.
في الوقت الذي تتغير فيه مخاطر المؤسسات بسرعة - تدخل الأوبئة والركود الاقتصادي والعمل عن بُعد - فإن الهجمات الإلكترونية والتهديدات المزدهرة في جميع أنحاء العالم لا تؤدي فقط إلى تضخيم كل خطر ، بل رفعت الأمن السيبراني إلى موضوع تدقيق على مستوى مجلس الإدارة. ومع ذلك ، فإن أولئك منا على الخطوط الأمامية يواجهون مجموعة من التحديات مما يجعل من الصعب تزويد قادة الأعمال لدينا بصورة واضحة عن وضع الأمن السيبراني لمنظمتنا.
مع التركيز على تسليط الضوء على بعض هذه التحديات الرئيسية ومساعدة قادة الأمن على بدء حوار هادف مع نظرائهم في العمل ، كلفت Tenable شركة Forrester Consulting بإجراء مسح عبر الإنترنت لـ 416 أمنًا و 425 مديرًا تنفيذيًا للأعمال ودراسة من النتائج لفحص استراتيجيات الأمن السيبراني و الممارسات في الشركات المتوسطة إلى الكبيرة. الدراسة الناتجة ، صعود تنفيذي أمن الأعمال التجارية، يكشف عن انفصال بين توقعات الأعمال والواقع الذي يواجه قادة الأمن. لكنه يكشف أيضًا عن ربما أكبر فرصة فردية تواجه المؤسسات الرقمية اليوم - رفع دور CISO إلى مكانة متساوية مثل الأدوار التنفيذية الأخرى.
المستقبل ملك لقائد الأمن السيبراني المتوافق مع الأعمال
تكشف الدراسة عن أربعة محاور رئيسية:
-
تزدهر تهديدات الأمن السيبراني وسط مناخ من عدم اليقين ، مما يجعلها موضوعًا يستحق الظهور على مستوى مجلس الإدارة. الغالبية العظمى من المنظمات (94٪) شهدت تأثيرًا على الأعمال التجارية1 هجوم إلكتروني أو حل وسط خلال الأشهر الـ 12 الماضية. قال ما يقرب من الثلثين (65٪) إن هذه الهجمات تضمنت أصول تقنية تشغيلية (OT).
-
يرغب قادة الأعمال في الحصول على صورة واضحة لموقف الأمن السيبراني لمنظماتهم ، لكن نظرائهم في مجال الأمن يكافحون لتوفيرها. يقول أربعة فقط من كل 10 قادة أمنيين إنهم يستطيعون الإجابة على السؤال ، "ما مدى أمننا أو تعرضنا للخطر؟" بمستوى عالٍ من الثقة.
-
هناك انقطاع في كيفية فهم الشركات للمخاطر الإلكترونية وإدارتها. يقوم أقل من 50٪ من قادة الأمن بتأطير تأثير تهديدات الأمن السيبراني في سياق مخاطر عمل محددة. يقول نصف قادة الأمن فقط (51٪) إن مؤسساتهم الأمنية تعمل مع أصحاب المصلحة في الأعمال لمواءمة أهداف التكلفة والأداء وتقليل المخاطر مع احتياجات العمل. أفاد أربعة فقط من كل 10 قادة أمن (43٪) أنهم يراجعون بانتظام مقاييس أداء مؤسسة الأمان مع أصحاب المصلحة في الأعمال.
-
يحتاج الأمن السيبراني إلى التطور كاستراتيجية عمل. لا يمكن أن يحدث هذا حتى يكون لقادة الأمن رؤية أفضل لسطح هجومهم. أفاد ما يزيد قليلاً عن نصف قادة الأمن أن مؤسساتهم الأمنية لديها فهم شامل وتقييم لسطح هجوم المنظمة بالكامل وأن أقل من 50٪ من المؤسسات الأمنية تستخدم مقاييس التهديد السياقية لقياس المخاطر الإلكترونية لمنظماتهم. وهذا يعني أن قدرتها على تحليل المخاطر السيبرانية وتحديد أولوياتها وتنفيذها بناءً على أهمية الأعمال وسياق التهديد محدودة.
تُظهر الدراسة أنه عندما يتم التوافق بين قادة الأمن والأعمال حول بيانات مخاطر الأعمال المتفق عليها ، فإنهم يقدمون نتائج مهمة يمكن إثباتها. من المرجح أن يكون القائد الأمني المتوافق مع الأعمال التجارية على ثقة كبيرة بقدرته على الإبلاغ عن مستوى الأمان أو المخاطر في مؤسساته بمقدار ثمانية أضعاف. أكثر بروزًا في المناخ الاقتصادي اليوم ، مع الانكماش الاقتصادي العالمي الذي دفع المنظمات إلى إعادة تقييم إنفاقها: 85٪ من قادة الأمن المتوافقين مع الأعمال لديهم مقاييس لتتبع عائد الاستثمار للأمن السيبراني والتأثير على أداء الأعمال مقابل 25٪ فقط من أقرانهم الأكثر تفاعلاً وانعزالاً.
كما أشار دان بودين ، رئيس CISO في سينتارا للرعاية الصحية في مقابلة مع Tenable العام الماضي: "في المناخ اليوم ، هناك الكثير من التركيز من المجتمع حول قيام الشركات بإدارة المخاطر بشكل أفضل ، يريد كل فريق قيادي وكل مجلس إدارة في كل مؤسسة أن يكون جزءًا من قصة حل المشكلة. إذا كان بإمكانك إعطائهم بيانات جيدة حول التعرض ، وما الأشياء التي نحتاج فعلاً إلى القيام بها ، فهم يفهمون البيانات ، ويمكنهم الارتباط بالبيانات. إنهم يريدون أن يكونوا جزءًا من القصة لمساعدتك في حل المشكلة وإدارة المخاطر بشكل أفضل ".
من أجل تحقيق التوافق ، يحتاج CISOs وغيرهم من قادة الأمن وإدارة المخاطر إلى المزيج الصحيح من التكنولوجيا والبيانات والعمليات والأشخاص. على سبيل المثال ، الغالبية العظمى من المنظمات المتوافقة مع الأعمال (80٪) لديها مسؤول أمن معلومات الأعمال (BISO) أو مسمى مشابه ، مقارنة بـ 35٪ فقط من نظرائهم الأقل توافقًا. تكشف الدراسة أيضًا أن قادة الأمن المتوافقين مع الأعمال التجارية يتفوقون على نظرائهم الأكثر تفاعلًا والمنعزلة في أتمتة عمليات تقييم الثغرات الأمنية الرئيسية بهوامش من +49 إلى +66 نقطة مئوية.
1يتعلق "التأثير على الأعمال" بهجوم إلكتروني أو حل وسط أدى إلى فقدان العميل أو الموظف أو أي بيانات سرية أخرى ؛ انقطاع العمليات اليومية ؛ دفع تعويضات برامج الفدية ؛ الخسارة المالية أو السرقة ؛ و / أو سرقة الملكية الفكرية.
اقرأ سلسلة المدونات: كيف تصبح قائدًا للأمن السيبراني متوافقًا مع الأعمال
ركزت المدونات في هذه السلسلة على تحديات المواءمة بين الأمن السيبراني والأعمال و لماذا يكافح قادة الأمن السيبراني للإجابة على السؤال "إلى أي مدى نحن آمنون أو معرضون للخطر؟". نحن أيضا فحصنا ما تكشفه استراتيجيات الاستجابة لـ COVID-19 عن انقطاع الاتصال بين الأعمال التجارية والإلكترونية، ناقش لماذا تقصر مقاييس الأمن السيبراني الحالية عند الإبلاغ عن المخاطر السيبرانية، استكشافها خمس خطوات لتحقيق التوافق مع الأعمال وقدمت نظرة على يوم في حياة قائد الأمن السيبراني المتوافق مع الأعمال.
تعرف على المزيد
مقالات ذات صلة
Pig Butchering Scam: How Bitcoin, Ethereum, Litecoin and Spot Gold (XAUUSD) Investments Are Used in Romance Scams to Steal Hundreds of Millions
February 14, 2024This is the second part of a two-part series based on firsthand research into pig butchering scams from the end of 2022 into early 2024. In this post, we delve into the types of investment scams perpetrated by pig butchers to steal hundreds of millions of dollars from victims, including in the form of cryptocurrency and spot gold.
Tales Of Zero-Day Disclosure: Tenable Researchers Reveal Recommendations for a Successful Experience
November 15, 2021Real life stories of vulnerability discovery and disclosure from Tenable’s Zero Day Research team offer guidance you can use to refine your organization's policies.
Spotlight on Brazil: Remote Work Requires New Risk Management Practices
October 14, 2021Remote work is here to stay — along with the risks it introduces to Brazilian organizations, if not managed properly. Here's what you need to know. The pandemic forced many Brazilian organizations to...
Microsoft’s June 2024 Patch Tuesday Addresses 49 CVEs
June 11, 2024Microsoft addresses 49 CVEs in its June 2024 Patch Tuesday release with one rated as critical and no zero-day or publicly disclosed vulnerabilities. Our counts omitted two CVEs that were not issued by Microsoft, which include CVE-2023-50868 (issued by MITRE) and CVE-2024-29187 (issued by GitHub).
Cloud Workload Protection: The Key to Decreasing Cloud Security Risks
June 11, 2024More than 80% of all breaches involve data stored in the cloud, and security teams that don’t use cloud workload protection (CWP) may never get ahead of attackers who want to access as much data as possible with the least effort. A single cloud breach is often the most straightforward way into these sensitive environments. On average, it costs nearly $5 million to respond and recover. So, why are so many organizations still using traditional on-prem security that isn't designed for the dynamic cloud?
CVE-2024-4577: Proof of Concept Available for PHP-CGI Argument Injection Vulnerability
June 7, 2024Researchers disclose a critical severity vulnerability affecting PHP installations and provide proof-of-concept exploit code, which could lead to remote code execution.
- Reports
- Research Reports
- Threat Intelligence
- Vulnerability Management