7 ошибок, которые допускают директора по информационной безопасности, выступая перед советом директоров


Правления корпораций просят своих директоров по информационной безопасности чаще информировать их о рисках кибербезопасности. Это дает руководителям службы безопасности возможность помочь старшим заинтересованным сторонам бизнеса лучше понять ценность безопасности и повышает вероятность того, что они будут поддерживать и укреплять стратегии безопасности.

Однако продуктивный разговор с советом директоров о кибербезопасности может быть серьезной проблемой, а неспособность сделать это эффективно может привести к путанице, разочарованию и отсутствию сплоченности среди директоров, службы безопасности и остальных сотрудников. организация. Вот несколько распространенных ошибок, которые допускают директора по информационной безопасности, выступая перед советом директоров, а также советы, как их избегать.

1. Использование чрезмерно технического языка безопасности

«Выступая перед советом директоров, директора по информационной безопасности должны быть осторожны с языком, который они используют. Если они будут слишком техническими, они потеряют свою аудиторию», — говорит Майкл Тамир, директор по информационным технологиям Cyren. Он добавляет, что директора редко бывают экспертами в области безопасности, и использование чрезмерно технического жаргона может привести к обратным результатам.

«Членам совета директоров не нравятся вещи, которых они не понимают, и большинство из них одновременно выполняют тысячи разных задач в своей голове, поэтому, по их мнению, у них короткая продолжительность концентрации внимания», — соглашается аналитик Форума по информационной безопасности и бывший директор по информационной безопасности Пол Уоттс. Директора по информационной безопасности должны по возможности переводить глубоко технические термины в деловые термины и объяснять то, чего они не могут. «Будьте максимально краткими, используйте разумный темп и визуализируйте, а не используйте много слов».

2. Сосредоточение внимания на неправильных последствиях угроз

Директор по информационной безопасности должен следить за тем, чтобы сообщения об угрозах никогда не отклонялись от влияния бизнеса на организацию, говорит директор по информационной безопасности CyberGRX Дэйв Стэплтон. «CISO может понять, почему конкретная зависимость библиотеки кода представляет угрозу для ресурса, связанного с Интернетом, но это, вероятно, слишком далеко для совета директоров», — добавляет он.

Сунил Ю, директор по информационным технологиям JupiterOne, соглашается. «CISO часто говорят по-гречески, в то время как остальные члены совета директоров говорят долларами и здравым смыслом. Чтобы общаться с советом директоров на понятном им языке, директора по информационной безопасности должны сосредоточить свои сообщения на том, как безопасность позволяет бизнесу выходить на новые рынки, реализовывать новые инициативы и количественно снижать ежегодные риски убытков».

© 2022 IDG Communications, Inc.

https://cyberxhack.org/