Krisis ekonomi saat ini berarti pemotongan anggaran yang signifikan bagi banyak perusahaan. Tetapi ancaman dunia maya terus meningkat dan bisnis perlu menanggapinya dengan serius.
Ini berarti bahwa lebih dari sebelumnya CISO harus membuktikan nilai program keamanan siber mereka kepada manajemen senior. Tapi bagaimana mereka bisa melakukan ini secara efektif? Kami berbicara dengan Tim Erlin, VP inovasi produk di SecurityScorecard untuk mencari tahu.
BN: Bagaimana peran chief information security officer (CISO) berkembang?
TE: Evolusi CISO mencerminkan evolusi CIO dalam banyak hal. CISO awal terutama adalah teknolog yang ditugaskan dengan tanggung jawab kepemimpinan yang diperluas seputar keamanan. Seiring waktu, CISO menjadi semakin fokus pada bisnis karena keamanan siber menjadi semakin berdampak pada intinya. Meskipun tanggung jawab CISO tetap pada keamanan siber, mereka semakin ditugasi untuk menghubungkannya ke bisnis dan berkomunikasi dalam istilah bisnis. Sebagian besar CISO modern sekarang adalah eksekutif bisnis yang berspesialisasi dalam keamanan dunia maya, bukan ahli teknologi yang terkejut menemukan diri mereka berada di ruang dewan.
BN: Mengapa penting bagi dewan untuk memahami risiko dunia maya?
TE: Risiko dunia maya berdampak pada bisnis, dan karena itu, risiko tersebut berada dalam lingkup dewan. Seiring lanskap ancaman dunia maya berkembang pesat, keamanan dunia maya tidak lagi menjadi tanggung jawab CISO dan tim keamanan semata. Pimpinan senior dan dewan direksi harus memiliki pemahaman yang jelas tentang potensi ancaman dunia maya terhadap bisnis agar dapat membuat keputusan yang matang tentang investasi dan sasaran perusahaan. Pengambilan keputusan yang berhasil seputar risiko keamanan siber mengharuskan CISO memahami dan mampu mengomunikasikan risiko teknis dalam bahasa yang dipahami oleh eksekutif lain. Sementara 88 persen dewan direksi sudah memahami bahwa keamanan siber adalah risiko bisnis, mayoritas CISO mengatakan bahwa mengomunikasikan risiko dunia maya dengan benar dalam istilah bisnis kepada dewan mereka adalah sebuah tantangan.
BN: Mengapa CISO kesulitan untuk mengomunikasikan risiko dunia maya secara efektif kepada dewan mereka?
TE: CISO tidak memiliki bahasa yang sama untuk membahas risiko keamanan siber dengan eksekutif bisnis. Anggota dewan terbiasa berkomunikasi dalam istilah keuangan, dan mendiskusikan bagaimana risiko dan peluang diterjemahkan menjadi hasil organisasi. Meskipun mereka mungkin memahami bahwa keamanan siber itu penting, mereka tidak berbicara bahasa risiko keamanan siber. Saat CISO membuat presentasi tingkat dewan, mereka menggunakan alat dan bahasa yang tersedia untuk mereka, menghasilkan presentasi yang lebih teknis daripada presentasi bisnis. Hasil akhirnya adalah pemutusan hubungan antara CISO dan board. Dewan mencentang kotak untuk ‘memantau keamanan dunia maya’, tetapi belum ada percakapan yang bermakna tentang risiko.
Jika CISO tidak dapat membuktikan bahwa uang yang mereka keluarkan untuk program keamanan siber memberikan nilai bagi bisnis yang lebih luas, mereka berisiko kehilangan anggaran atau membuat perusahaan rentan terhadap ancaman dan masalah kepatuhan. Dalam skenario ekstrim, CISO bahkan bisa kehilangan pekerjaan.
BN: Apakah Anda memiliki rekomendasi tentang bagaimana CISO dapat mengartikulasikan risiko dunia maya dengan baik kepada manajemen senior dan dewan direksi mereka?
TE: CISO sering memiliki waktu terbatas dengan board, jadi penting untuk menggunakannya secara efektif. Identifikasi dan laporkan secara konsisten kumpulan metrik yang penting bagi bisnis. Hindari aktivitas pelaporan dan fokus pada Indikator Risiko Utama. Jika memungkinkan, laporkan dalam bentuk keuangan. CISO harus menggunakan Cyber Risk Quantification (CRQ) untuk menerjemahkan risiko dunia maya menjadi dampak finansial. Dengan menempatkan nilai moneter pada risiko dunia maya, CISO dapat membantu dewan mereka memahami dampak keuangan yang dapat ditimbulkan oleh serangan dunia maya, mendapatkan wawasan tentang kemungkinan peristiwa dunia maya dari waktu ke waktu, dan mengukur penurunan perkiraan kerugian jika masalah diselesaikan. Perencanaan skenario juga merupakan teknik ampuh yang dapat digunakan CISO untuk membuat analisis biaya-manfaat yang efektif. Misalnya, mereka dapat menunjukkan kepada dewan mereka bagaimana alat keamanan siber senilai $150.000 melindungi bisnis dari pelanggaran data bernilai jutaan dolar yang diproyeksikan, menghasilkan penghematan yang signifikan dari waktu ke waktu.
CISO juga harus mendorong dewan mereka untuk menghadirkan pakar dunia maya. Seorang anggota dewan dengan kesadaran dan latar belakang keamanan siber yang kuat dapat membantu mendukung CISO dengan memperkuat pentingnya investasi keamanan siber mereka dan menjawab pertanyaan secara efektif.
BN: Jenis metrik apa yang harus dipantau oleh CISO untuk mengomunikasikan risiko?
TE: Untuk memantau keefektifan solusi dan proses mereka, mendemonstrasikan nilai pengeluaran keamanan, dan menilai kinerja tim keamanan mereka, CISO harus menetapkan metrik khusus. Metrik berikut dapat membantu CISO menunjukkan kepada dewan mereka angka-angka yang benar-benar penting, daripada terlalu terpaku pada detail teknis dan data, dan memastikan percakapan tetap pada tingkat yang tepat”
Benchmarking: Salah satu cara terbaik bagi dewan untuk memahami risiko dan pengeluaran adalah melalui perbandingan. CISO harus memantau kesehatan dunia maya pesaing dan rekan mereka untuk mengevaluasi perbandingan postur keamanan dunia maya mereka. Risiko terukur: Seperti disebutkan di atas, pelaporan dalam istilah keuangan adalah kuncinya. Setiap kali risiko tertentu sedang dibahas di tingkat dewan, CISO harus dapat menyajikan risiko, probabilitas, dan potensi biaya. Risiko pihak ketiga: Pemantauan postur keamanan vendor mereka sendiri dan vendor vendor mereka akan memungkinkan CISO untuk menilai apakah organisasi mereka rentan terhadap risiko pihak ketiga. Platform peringkat keamanan dapat memberi nilai numerik pada kebersihan dunia maya mitra bisnis dan prospek mereka. Kepatuhan: Sebagian besar organisasi tunduk pada berbagai standar keamanan dunia maya dan kepatuhan privasi. Dewan harus melihat ringkasan laporan status kepatuhan karena ketidakpatuhan dapat mengakibatkan denda material. Tanggapan Insiden: Insiden terjadi, dan perlu ditangani. Hindari mengukur aktivitas di sini dan fokus pada hasil yang disesuaikan dengan risiko. Identifikasi metrik bermakna yang lebih baik daripada rata-rata waktu untuk pemulihan (MTTR). Personalia: Ancaman orang dalam adalah masalah material dan memantau perputaran organisasi adalah salah satu cara untuk mengidentifikasi risiko. Tim keamanan siber itu sendiri adalah komponen kunci untuk sukses, jadi pelaporan kesehatan tim juga relevan.
Kredit Foto: Pixelbliss/Shutterstock
