Kemana Anda Pergi Dari Sini?

CISO Membagikan Strategi Teratas untuk Mengkomunikasikan Nilai Keamanan ke Biz


BLACK HAT ASIA 2022 – Dalam hal menunjukkan nilai keamanan siber bagi bisnis, salah satu tantangan terbesar adalah mengkomunikasikan ROI ke C-suite. Persepsi yang mengakar tentang keamanan sebagai penghalang produktivitas dan space lain membuat sangat sulit bagi insinyur keamanan dan manajemen nonteknis untuk berada di halaman yang sama.

Selama keynote di Black Hat Asia minggu ini, George Do, CISO di Gojek dan GoTo Monetary dan mantan cyber-pro di NASA, membahas masalah bagaimana mendorong keamanan untuk dilihat sebagai bagian yang berharga dari bisnis untuk semua departemen, bukan hanya kantor CISO. Ini dimulai, katanya, dengan mengukur keamanan itu secara efektif.

“Semua investasi Anda untuk keamanan, semua perekrutan Anda, semua proyek Anda, semua darah, keringat, dan air mata yang dicurahkan oleh staf keamanan – apakah semua itu penting? Apakah itu berarti?” tanyanya saat presentasi berjudul, “Memindahkan Jarum Keamanan Dari Parit Keamanan ke Ruang Rapat.” “Kamu harus bisa menjawab itu” dan tunjukkan alasannya.

Kerusakan Komunikasi
Tim keamanan sering mengalami kesulitan inside karena kurangnya komunikasi antar departemen. Ambil, misalnya, kesalahpahaman umum di antara pekerja rata-rata bahwa keamanan ada untuk membuat hidup setiap orang lebih sulit. Do menyebutnya sebagai “keamanan menara gading”, di mana aparat keamanan tampak bagi semua orang untuk dipindahkan dan cenderung memberikan serangkaian “tidak”.

“Banyak organisasi kami melihat tim keamanan sebagai kendala teknis,” kata Do. “Kami CIS-NO, kan? Mereka pikir kami kadang-kadang melakukan hal-hal dalam ruang hampa, bahwa kami tidak memahami dampak bisnis atau setidaknya memahami, Anda tahu, titik sakit yang dialami bisnis. Ada ketidakpercayaan pada tim keamanan.”

Dia menambahkan, “Semakin banyak proses dan semakin banyak gerbang yang kami buat memperlambat bisnis dan menambah gesekan. Kami sering tidak mempertimbangkannya dengan cukup berat dalam pilihan kami tentang bagaimana kami akan merancang sesuatu.”

Perangkap komunikasi lain ada antara CISO, CIO, dan CTO. Semua sering diseret ke ruang rapat bersama tanpa berada di halaman yang sama, yang dapat menciptakan kemungkinan hubungan permusuhan atau persaingan. Tetapi sangat penting bagi CISO untuk mengenali para pemimpin terkait teknologi lainnya sebagai mitra dan pemangku kepentingan, kata Do.

“Ini bukan untuk CISO untuk mengatakan, ‘Hei, CIO dan CTO, ini semua hal buruk yang terjadi di organisasi Anda. Anda harus memperbaikinya,'” jelasnya. “Ide yang lebih baik adalah bermitra dalam presentasi bersama untuk dipresentasikan ke dewan, jadi apa pun masalah yang kita sebut, ada rencana serangan, dan kita dapat berkomunikasi tentang bagaimana kita lakukan terhadap rencana serangan itu.”

Strategi penting lainnya adalah mengingatkan anggota dewan bahwa mereka memiliki kulit dalam permainan.

“Anggota dewan memiliki apa yang mereka sebut tugas fidusia, artinya jika organisasi diretas atau dikompromikan dan ditemukan bahwa anggota dewan tidak berfokus pada space risiko itu bagi organisasi, mereka dapat dimintai pertanggungjawaban,” kata Do.

Dorong anggota audiens untuk mempertimbangkan overhead dengan setiap penambahan atau program keamanan.

“Setiap emblem yang Anda tambahkan ke program keamanan Anda akan menambah sedikit utang teknis,” jelasnya. “Anda harus mempertimbangkan biaya untuk menyiapkan proses baru, jam kerja, dampaknya terhadap bisnis, [and] biaya produk itu sendiri.”

5 Ideas Utama untuk Mengkomunikasikan Efektivitas Keamanan
Do juga menyusun cetak biru bercabang lima untuk mengkomunikasikan pentingnya program keamanan ke seluruh bisnis, dan bagaimana mengukur ROI.

1. Kenali audiens Anda: Saat mencoba mengomunikasikan hasil keamanan, penting untuk menggunakan bahasa yang dapat dipahami oleh anggota dewan dan pemimpin bisnis, Do menunjukkan. Itu termasuk menggunakan aturan praktis sederhana, seperti menghindari jargon dan akronim.

Penting juga untuk memahami bahwa pemangku kepentingan yang berbeda memiliki lensa yang berbeda. Insinyur keamanan mungkin melihat jumlah serangan yang diblokir oleh firewall sebagai ukuran keberhasilan, sementara manajer dan direktur infosec lebih suka mengetahui tentang serangan yang berhasil dan apakah sistem mampu mendeteksi dan merespons serangan tersebut. Sementara itu, CISO akan tertarik untuk mencari tahu apa yang bisa dilakukan untuk mencegah pelanggaran lebih lanjut, sementara CEO dan dewan mungkin lebih tertarik pada apakah organisasi kehilangan uang, mengalami downtime, atau berakhir dengan tanggung jawab hukum atau kerusakan merek dan reputasi.

“Ini semua adalah pertanyaan yang sangat berbeda, semuanya sama pentingnya,” kata Do.

2. Jangan mulai dengan metrik: Ini mungkin tampak berlawanan dengan intuisi, kata Do, tetapi penting untuk memulai dengan tujuan bisnis saat membingkai efektivitas keamanan.

“Anda mungkin rumah sakit, lembaga pemerintah, perusahaan komersial; apa pun Anda, Anda memiliki tujuan bisnis, jadi mulailah dengan itu,” saran Do. “Inilah cara kami menghasilkan pendapatan. Inilah yang kami berikan kepada industri. Apa risiko dunia maya terhadap bisnis itu, mengingat apakah Anda berada di cloud, foundation pengguna, foundation pelanggan Anda atau tidak? Memahami hal ini akan memberi tahu Anda tentang metrik yang seharusnya.”

3. Jadilah kuantitatif: Setelah metrik ditentukan, peta jalan keamanan organisasi harus diselaraskan. Itu berarti investasi di semua proyek, produk, tenaga kerja, proses, dan sebagainya harus digunakan untuk memenuhi metrik tersebut.

“Metriknya harus menjadi informasi publik, jadi setiap tim di perusahaan tahu apa tujuan Anda dan itu sudah ditandatangani. Ini bukan sesuatu yang keamanan masak di dapur dalam silo,” catat Do.

Penting untuk mengukur apa arti kesuksesan dalam angka, bukan anekdot atau pernyataan kualitatif, Do menambahkan: “Anda harus dapat mengukurnya dan mengulanginya.”

4. Ingatlah bahwa keamanan adalah upaya tim: Do menunjukkan bahwa terlalu sering, tim keamanan mengambil sikap kita-melawan dunia – tetapi pada kenyataannya setiap orang memiliki kepemilikan dalam proses keamanan dan harus dikomunikasikan seperti itu, dengan tanggung jawab dan peran yang jelas untuk keamanan di setiap departemen.

“Bahkan space seperti tim pengadaan mungkin perlu memiliki beberapa bagian dari proses keamanan, misalnya,” kata Do. “Secara harfiah dibutuhkan sebuah desa untuk mengamankan sebuah organisasi, bukan hanya tim keamanan. Dan dalam mengenali itu, Anda dapat menghindari kebingungan tentang siapa yang bertanggung jawab, siapa yang bertanggung jawab, siapa yang berkonsultasi, dan siapa yang diberi tahu. Ini sangat penting karena menetapkan harapan di awal. dengan pemangku kepentingan Anda tentang siapa yang memiliki apa.”

5. Pasangkan pemberdayaan dengan akuntabilitas: Setelah peran keamanan ditentukan dan jelas siapa yang bertanggung jawab atas apa, penting juga untuk memberdayakan individu-individu tersebut.

“Diberdayakan berarti, apakah saya memiliki wewenang untuk mencapai tujuan saya, misalnya, menambal, misalnya? Apakah saya memiliki anggaran? Apakah saya memiliki proses? Apakah saya memiliki orang-orang untuk mencapai apa yang menjadi tanggung jawab saya? ” Apakah menjelaskan.

Sebagai penutup, Do memperingatkan tim keamanan untuk menyadari bahwa menerapkan praktik terbaik ini akan menjadi perjalanan dengan banyak rintangan, tetapi penting untuk bertahan.

“Selalu tanpa kecuali kita semua menghadapi beberapa tingkat tantangan dalam paradigma ini, yang berarti pengukuran keamanan, dan bagaimana kita berkomunikasi dengan dewan kita, kepemimpinan kita, pemilik kita, pemegang saham kita, bahwa kita menggerakkan jarum dengan keamanan. ?” dia berkata.

Do menambahkan, “Beberapa organisasi dapat menghasilkan uang sepeser pun; mereka dapat beralih ke mannequin ini dengan cepat,” katanya. “Yang lain akan memakan waktu satu tahun atau lebih karena birokrasi, politik, proses, apa pun. Tapi saya akan mengatakan jangan biarkan hal itu menghalangi Anda untuk mendorong mannequin ini.”

Total
0
Shares
Leave a Reply

Your email address will not be published.

Related Posts