Когда CISO встретится с CCO: ведущее управление киберрисками
Кибербезопасность

Когда CISO встретится с CCO: ведущее управление киберрисками

admin

Руководство по обеспечению безопасности и соблюдению нормативных требований должно тесно сотрудничать, чтобы эффективно руководить управлением киберрисками во всей организации

В условиях быстро развивающихся угроз кибербезопасности и усиления глобального нормативно-правового обеспечения никогда не было лучшего времени для укрепления партнерства между главным специалистом по информационной безопасности (CISO) и главным специалистом по соблюдению нормативных требований (CCO). Поскольку корпоративные риски и киберриски продолжают пересекаться, это партнерство позволяет организациям реагировать быстрее, минимизировать сбои и оптимизировать управление по всему бизнесу.

CCO и корпоративное управление рисками

Вообще говоря, перед CCO часто ставится задача управлять корпоративной программой управления рисками, а информационная безопасность, безусловно, является одним из наиболее насущных рисков, с которыми сталкивается любая организация. Тем не менее, многие по-прежнему классифицируют киберриски отдельно от других рисков, связанных с соблюдением требований. Успешный альянс CISO / CCO по управлению киберрисками зависит от признания того, что киберриски – это не только техническая проблема, но и риск, пронизывающий всю организацию.

Итак, как CCO и CISO могут работать вместе для успешного партнерства? Проще говоря, они должны работать в тандеме, чтобы согласовать стратегию безопасности с более широкими целями комплаенса и управления рисками компании. Совместное решение киберрисков и комплаенс-рисков помогает всесторонне выявлять уязвимости и коллективно принимать превентивные меры. Когда эти две роли взаимодействуют, это создает согласованный подход к решению сложной проблемы киберрисков и тому, как они пересекаются с комплаенс-рисками.

Проблемы в достижении гармонии

На бумаге, конечно, это партнерство имеет смысл и кажется достаточно простым. Но на самом деле успешному объединению двух функций часто препятствует ряд проблем:

  • Различные приоритеты, приводящие к нарушению связи: CISO в первую очередь сосредоточены на защите конфиденциальных данных и технических аспектах безопасности. В отличие от этого, CEO озабочены соблюдением законодательства и нормативных требований. Отсутствие эффективной коммуникации и взаимопонимания между CISO и CCO может препятствовать согласованию и координации, особенно при устранении возникающих киберрисков.
  • Распределение ресурсов: Исторически сложилось так, что как соблюдение требований, так и кибербезопасность рассматриваются как центры затрат (а не как источники дохода), что означает, что ресурсы часто ограничены для обоих отделов. Обеспечение адекватного финансирования уже давно является проблемой как для кибербезопасности, так и для соответствия требованиям, но сбой в любой из областей может стоить (и часто стоит) миллионы или сотни миллионов долларов.
  • Разрозненность организационной информации может привести к разочарованию в любой отрасли, особенно в вопросах соответствия требованиям и информационной безопасности. Однако, по мере того, как практика кибербезопасности начинает подвергаться более тщательному контролю со стороны регулирующих органов, как в случае с недавней Директивой NIS2, центр ответственности CCO / CISO на диаграмме Венна будет увеличиваться.
  • Технологические препятствия: Различия в использовании технологий, инструментов и методологий оценки рисков могут создавать проблемы для согласования и сотрудничества. Многие организации используют разрозненные системы в разных подразделениях, что означает, что не всегда легко обмениваться информацией между подразделениями по соблюдению требований и информационной безопасности.

5 советов по стимулированию сотрудничеств

Итак, как CCO и CISO могут работать в направлении гармоничного партнерства? Давайте рассмотрим несколько способов стимулирования такого сотрудничества.

1. Общие цели

Убедитесь, что CISO и CCO преследуют общие цели. Определите устойчивость вашей организации к рискам и требования соответствия. При наличии общего видения становится легче устанавливать четкие приоритеты и стратегии.

2. Регулярное общение

Создайте основу для регулярного общения между CISO и CCO. Регулярные встречи, совместные оценки (с общей рубрикой оценки рисков) и общие механизмы отчетности необходимы для поддержания осведомленности и согласованности.

3. Перекрестное обучение

Поощряйте перекрестное обучение, чтобы преодолеть разрыв между технической стороной и стороной соблюдения требований. CCO выигрывают от понимания основ кибербезопасности, а CISO могут лучше разбираться в нюансах соблюдения требований законодательства. Рассмотрите возможность ротации соответствующих членов команды между двумя отделами для более глубокого понимания обоими элементами в масштабах всей команды.

4. Инструменты совместной работы

Инвестируйте в инструменты совместной работы для облегчения обмена информацией и оценки рисков. Внедряйте интегрированные решения по управлению рисками, которые предлагают целостное представление как о рисках кибербезопасности, так и о рисках соответствия требованиям.

5. План реагирования на инциденты

Разработайте комплексный план реагирования на инциденты с участием как CISO, так и CCO с самого начала. В этом плане должны быть определены роли и обязанности для каждого отдела, обеспечивающие скоординированное реагирование на киберинциденты.

Расширение прав и возможностей сотрудников в области управления киберрисками

Успех любой программы управления киберрисками зависит не только от сотрудничества руководства; сотрудники являются ценным активом в выявлении угроз, сообщении о неправомерных действиях и улучшении внутренней коммуникации, но только в том случае, если они уполномочены это делать. Итак, как вы этого достигаете? Начните с:

  • Образование и профессиональная подготовка: Проведите всестороннюю подготовку сотрудников по кибербезопасности. Информируйте их о последних угрозах, передовых практиках и важности оперативного сообщения об инцидентах или подозрительных действиях.
  • Четкие каналы отчетности: Создайте простые в использовании конфиденциальные каналы, по которым сотрудники могут сообщать о проблемах безопасности или нарушениях соответствия требованиям. Убедитесь, что эти каналы хорошо известны всем сотрудникам и к ним легко получить доступ.
  • Регулярное тестирование: проводите имитацию фишинга, настольные упражнения на предмет рисков и нарушений соответствия требованиям, а также учения по безопасности для проверки осведомленности сотрудников и реагирования на угрозы. Используйте эти рекомендации, чтобы определить области, которые нуждаются в улучшении, и соответствующим образом скорректировать обучение.
  • Открытое общение: развивайте культуру открытого общения внутри организации. Поощряйте сотрудников делиться идеями, озабоченностями и отзывами по вопросам безопасности и соответствия требованиям. Когда сотрудники чувствуют себя комфортно, высказывая опасения, не опасаясь репрессий, открывается информационная золотая жила.

Активное сотрудничество CISO и CCO, наряду с наделенными полномочиями сотрудниками, представляет собой надежную защиту от растущей киберугрозы и комплаенс-рисков. Такой подход не только защищает цифровые активы организации, но и укрепляет ее приверженность соблюдению нормативных требований и безопасности, укрепляя доверие между заинтересованными сторонами и обеспечивая долгосрочный успех.

admin
Author: admin

Related Posts