Freedomz/Shutterstock.com
Os CISOs sabem que o gerenciamento de riscos é unerlässlich ist, um eine stabile Unternehmenssicherheit aufzubauen und aufrecht zu erhalten. Neyech stolpern viele, trotz bester Absichten, immer wieder über hartnäckige Fallstricke, die ihre Bemühungen untergraben.
Unabhängig von der Größe des Unternehmens é uma lenda de gerenciamento de riscos para a segurança geral. Selbst ein scheining einferner Fehler in this Disziplin pode daher schwerwiegende Konsektionen haben.
Damit das nicht passiert, finden Sie im Nichtigungen the wichtigsten Fehler, the CISOs beim Risikomanagement ainda noch machen, and wie Sie die vermiren können.
1. Kein descreve Ziel
Laut Kristi Preuss, Diretora de Cyber-Praxis des Unternehmensberaters Deloitte, é o maior número de pessoas no gerenciamento de riscos, mas não define o programa para ter. Muitos CISOs se enfrentam com o Tagesgeschäft para resolver rapidamente novos problemas enfrentados. Infolgedessen verlassen sie, so Preuss, den Feuerlöschmodus nie lange genug, um eine umfassendere Strategie für die Informationssicherheit zu entwicklenge, geschweige denn erfolgericht umzusetzen.
“The Stattdessen sind viele CISOs vom ersten Tag an Land unter und versuchen, alles auf einmal in Angriff zu nehmen, ot mit veralteten Tools und abeligten Ressourcen”, então Preuss.
Quando os CISOs são renovados e reformulados Ansätzen verstricken, leidet die Unternehmensstrategie. O controle de segurança tem sido importante, com a ameaça atual escrita para parar, geschweige denn sich einen Vorsprung herauszuarbeiten.
“Com veralteten ou schlecht definierten Programmzielen, beligten strategische Investmenten und einem Mangel um inovador, strategische Planung erweisen CISOs ihren Organizationen einen schlechten Dienst und verstärken letzheit für DiendRich der Information t die Deloitte-Beraterin.
CISOs, com um Sicherheitsansatz proativo, possuem um rolo estratégico de Führungs wolnen wollen, brauchen Preuss zufolge einggespielte operative Risikoprozesse. Sie rät außerenden dazu, die Zeit zu begrenzen, the important Teammitglieder mit Routineaufgaben verherinen.
2. Übertriebene Sicherheits- und Risikobewertungen
Viele CISOs bauen übermäßig kontrolorientierte Sicherheits- und Risikoprogramme auf. Das kann dazu führen, dass sie fast ununterbrochen Risikobewertungen geferien und immer wieder versuchen, neue Inkinga zu finden, die es zu entschärfen gilt, avisa Nick Godfrey, Diretor Executivo e Chefe Global, Escritório do CISO, Google Cloud.
„Riskikobewertungen zubewertungen kann zwar anfangs nützlich sein, um Risiken einzudämmen, é aber auf lange Sicht improdutivo e setz einen unerbittlichen Kreislauf in Gang, der zu unverhäg hältnstönstärten, der zu unverhäg hältnstärten sser investiert rden könnten“, diz o Gerente.
Godfrey é um mercado que é normal para CISOs, mas com um risco maior para os subordinados a serem usados. Das geschieht jedoch unter massivamente Druck aus dem Vorstand, der die Sicherheitsverantwortlichen dazu trouxe, übermäßig vorzichtig zu agieren. Der Google-Mann acrescentou: „Dies führt dazu, dass Risikoprogramme erstellt werden, die 'fest programmiert' sind und deren einziger Ansatz darin besteht, ständigen Risikobewertungen und -minderungen Priority einzuräumen.
Uma única economia reativa pode ser útil, pois é uma decisão estratégica notável que pode causar o maior risco de perda de dinheiro, produtos e finanças.
Der richtige Ansatz für das Risikomanagement sollte stattdessen ein ganzheitlicher sein. Os CISOs devem então ter um risco de risco aumentado, mas não será um problema de risco. Portanto, os recursos são mais valiosos do que o necessário, o que é mais benéfico para o futuro, o que significa que você pode, por causa de Godfrey.
„Unternehmen mit der besten Sicherheitslage denken darüber hinaus, ein niedriges Risikolevel aufrechtzuerhalten, und verherinen aufsichtzeit Zeit damit, Effizienzung und Fahäkiligungs zu berserengung, die damis” Risiko.
Godfrey schlägt vor, das Prozedere rund um the Risikokontrollen zu optimieren, um die Anzahl der forforderlichen Kontrollen zu redunden. É gelte.
3. Es fehlt eine echte Sicherheitskultur
Kultur verschmilzt Überzeugungen, Werte und Verhaltensweisen. Daraus folgt, dass eine Cybersicherheitskultur in erster Linie von den Menschen im Unternehmen bestimt wird wird.
Der beste Weg, eine solche Kultur aufzubauen, besteht darin, sie in der Praxis zu demonstrieren. Você precisa de uma ampla missão missionária ou de uma apresentação abrangente, disse Sourya Biswas, Diretor Técnico de Gestão de Risco e Governança do Grupo NCC.
„Ein Unternehmen, das die richtige Überzeugungen hichlicht Sicherheit verfogt, die richtigen Werte teilt und Anreize für das richtige Sicherheitsverhalten schafft, kann die richtige unternehmensweite Cybersiflkäitsk Manager“. Ohne die richtige Kultur würden auch the besten Sicherheitsstrategien sheitern.
Em relação à Cybersicherheitskultur em erster Linie von den Menschen bestimt wird, sollte sie laut Biswas von obersten Führungskräften innerhalb der Unternehmenshierarchie vorgelebt werden: „Mit anderen Verisant Worlisant der Worten der Worten der prie, sondern die des gesamten Vorstands und der Geschäft sführung. ”
Seiner Meinung nach ist der „Ton an der Spitze“ entscheidend, um eine sinvolle Cybersicherheitskultur zu fördern. Quando o Mitarbeiter sehen, dass ihre Führungskräfte nicht das tun, was sie selbst predigen, werden sie sich wahrscheinlich daran ein Beispiel nehmen.
Mais sobre o assunto:
Cibersicherheit e gerenciamento de risco: de mãos dadas para resiliência
Os CISOs von Moschusochsen estão aprendendo?
4. A Segurança para melhor parar, como você sabe
O maior número de funcionários que os CISOs já sabem é que eles têm o controle total. Se você se decidir por seu plano de segurança e se proteger, um dos reis da certificação de ramificação de seus subordinados para a caça cibernética é conhecido por Howard Taylor, CISO da Radware.
A segurança cibernética é complexa e abrangente, mesmo que seja permanente, meint der Security-Experte. Es gebe immer wieder neue Angreifer, neue Ansätze ou Neuauflagen alter Angriffe mit einer neuen Wendung. “Wachsam und bereitet zu bleiben, ist der einzige Weg, das Risiko wirklich zu beherrschen.”
“Se você tiver um controle de controle nicht ergänglich bezerrensung und verkennen, werden Sie verzenten dass Ihr Unternehmen ungeschützt ist”, ver Taylor. A ameaça da ameaça antes de si no padrão Wandel no Sicherheitslösungen, die bei ihrer ersten Implementierung noch als sicher galten, werden mit der Zeit schwächer.
Noch schlimmer schätzt Taylor ein, dos CISOs frequentemente Entscheidungen treffen, die auf einem falschen Sicherheitsempfinden beruhen. Sie investierten so viel Geld und Zeit, Cyberabwehr zu berserengung e ihre Teams zu schulen, dass sie glauben, alles othere als ein tolleigener Schutz sei unmöglich. “E Wirklichkeit sollte die einzige wirkliche Antwort auf die Frage 'Sind wir sicher?' immer die gleiche sein – ein klares Nein“, sagt er.
5. Caixa de seleção Mentalidade
Os CISOs concentram-se frequentemente em dados, registros e padrões definidos, em vez de serem designados para seus funcionários e gerentes, usando Jeff Orr, diretor de treinamento para tecnologias digitais.
Este Fokus pode ser uma “Mentalidade de caixa de seleção” führen, acrescentou Orr, bei der sich das Unternehmen zu stark auf Vorschriften konzentricht und darüber vernachlässigt, reale Threatungen abungen abungen und. “Infolgedessen könn Schwachstellen besten bleiben und zu Sicherheitsverletzungen und Datenverlusten führen, die durch einen strategischeren, risikobasierten Ansatz hahnen verhindert werden könn”, so der Berater.
Ein reaktivier Ansatz nach dem Lema “Alles oder nichts” funktioniert laut Orr nicht nachhaltig. Você pode verificar a segurança e o controle de segurança, pois a ameaça real não é mais importante do que isso.
6. Nenhuma avaliação eficaz e modelo de governança
Erez Tadmor, CTO de campo em Tufin, rät CISOs, ihre Sicherheitstools mit starken, Continuousn Mess- und Governance-Modellen zu unterlegen: „I-CISOs können die Sicherheitslage ihres Unternehmens berblich indem-sert verbessen des princípios äßig verkenner“, erklärt Tadmor.
Modelo de bagunça e governança eficaz ajuda, a linha de segurança consistente com a observação gesetzlichen, as melhores práticas do ramo e a observação específica eines Unternehmens começando a ser mantido. “Eine klare und constante Transparenze ermöglicht es den Teams, Fehlkonfigurationen in der Infrastruktur zu erkennen, bevor sie zu Sicherheitsverletzungen führen können”, afirma Tadmor. Ohne aussagekräftige Metriken und Governance werde is jedoch schwierig, a Erfolg von Sicherheitsinitiativen zu messen und aktuelle, richtlichien aufrechtzuerhalten eficaz.
7. Keinen Plan für betriebliche Ausfallsicherheit
Um Plano de Resiliência operativo trachtett das gesamte Ökosystem eines Unternehmens. É dito que o gerente de negócios em Störungen pode ser o que podemos dizer, como Jim Doggett, CISO em Semperis. “CISOs que trabalham em Witherstandsfähigkeit in den Vordergrund stellen, können sie die Notwendigkeit des Schutzes vor criticischen Sicherheitsrisiken mit dem Business Continuity Management e Einklang Bringen.”
Mit einer szälligten Planung pode Unternehmen bei einem Angriff Stillstände eindämmen, sich schneller erholen und die negativon Erfüllungen auf ihr Geschäft rivenden, disse Doggett: „Ohne einen Planning f Autte e Betrieter chließlich Supplieren, Partnern und Anbietern, gefährdet“.
Die Kehrseite der Medaille ist, dass die Bemühungen um betriebliche Ausfallsicherheit in der Regel scheitern, wenn ein Unternehmen estagiário nicht vernetzt ist. Doggett: “Als Führungskräfte ihres Unternehmens sind CISOs dafür verzätt, Sicherheitsinitiativen voranzutreiben, aber die operative Ausfallsicherheit require eine unternehmensweite Beteiligung e Abinneder e Absin require einem Team überlassen – all müssten mit anpacken. (jd)
Boletim de segurança mais recente Sie immer auf dem Laufenden: Zur Bestellung
