در چشم انداز تهدیدات امروز، تیم مدیریت بیشتر از همیشه به دانستن درمورد استراتژی امنیت سایبری شرکت‌شان مشتاق‌اند. اگر می‌خواهید اعتماد هیئت مدیره را حفظ کنید، نمی‌توانید پس از یک حمله در مورد چگونگی ایمن‌سازی شرکت با آن‌ها صحبت کنید. شما باید درمورد استراتژی خود از همان ابتدا، با فواصل زمانی کم و با سطح مناسبی از جزئیات فنی، طوری با آن‌ها صحبت کنید که دقیقا از چیزهایی که باید بدانند، در بهترین زمان ممکن آگاه شوند.

حملات سایبری در طول سال‌ها در تعداد بیشتر و بزرگتر رخ داده‌اند و این امر امنیت سایبری را همانند کنترل مالی و عملیاتی، به یکی از پایه‌های کلی سلامت سازمان تبدیل کرده است. ‌ امروزه مدیران سازمان‌ها از خطرات سایبری آگاهند و از تیم اجرایی خود می‌خواهند تا در مورد نحوه مدیریت خطرات امنیتی سایبری توسط شرکت، شفافیت بیشتری ارائه دهند. یک مدیرفنی فناوری و مسئول امنیت شرکت برای، دستیابی به اطلاعات مورد نیاز خود اغلب نیاز به ایجاد هماهنگی با مدیران بالا مرتبه خواهد داشت. برت آرسنالت، معاون شرکت و رئیس امنیت اطلاعات (Chief Information Security Officer و یا به اختصار CISO) مایکروسافت، چندین نکته‌ی مهم را در مورد ارتباط با روسای سازمان به اشتراک گذاشت. ما آن‌ها را به سه دسته‌ی زیر تقسیم‌بندی کرده‌ایم:

1. استفاده موثر از زمان مدیران
2. آموزش هیئت مدیره در زمینه امنیت سایبری
3. صحبت درمورد نگرانی‌های مهم مدیران مربوطه

استفاده موثر از زمان مدیران سازمان

مدیران سازمان سوابق فردی متفاوتی دارند و به جز امنیت، مسئول تمام جنبه‌های مدیریت ریسک برای سازمان نیز هستند. برخی از اعضای هیئت مدیره ممکن است آخرین جریانات در امنیت را دنبال کنند، اما بسیاری از آن‌ها این کار را نمی‌کنند. هنگامی که زمان بیان مسائل جدید امنیتی فرا می‌رسد، شما باید تمامی مسائل بی‌اهمیت را کنار گذاشته و پیام خود را به درستی برسانید. این به این معنی است که شما باید تقریبا همان قدر که به آنچه که می‌خواهید بیان کنید، به چگونگی به اشتراک گذاشتن اطلاعات نیز با درنظر گرفتن نکات زیر توجه کنید.

• مختصر بودن
• اجتناب از اصطلاحات فنی
• ارائه به‌روزرسانی به طور منظم

این بدان معنی نیست که باید گزارش را بیش از حد ساده کرده و یا اطلاعات مهم فنی را حذف نمود بلکه باید به اندازه کافی آمادگی داشته باشید زیرا ممکن است تجزیه و تحلیل داده‌های امنیتی داخلی، درک روند کلیدی و تجزیه آن به یک گزارش 10 صفحه ای که می‌تواند در 30 تا 60 دقیقه ارائه شود، چندین هفته طول بکشد. به‌روزرسانی‌های سه ماهه به شما کمک خواهد کرد که بدانید چه چیزی در این 10 صفحه باید ارائه شود و به شما این امکان را می‌دهد که گزارش‌های قبلی خود را ادامه داده و هیئت مدیره را با استراژی‌های خود بیشتر آشنا کنید. با این وجود، برنامه‌ریزی مناسب می‌تواند در نحوه دریافت گزارش شما توسط هیئت مدیره تفاوت زیادی داشته باشد.

آموزش هیئت مدیره در زمینه امنیت سایبری

گزارشات مربوط به نقص‌های امنیتی توجه زیادی جلب می‌کنند و مدیران سازمان ممکن است امیدوار باشد که بتواند برای همیشه از حملات جلوگیری کند. یک جنبه کلیدی این است که به آن‌ها این که چرا هیچ شرکتی هیچگاه صد درصد امن نخواهد بود توضیح داده شود. تمایز واقعی این است که چگونه یک شرکت، به حادثه‌ای اجتناب ناپذیر واکنش نشان داده و به آن رسیدگی می‌کند. همچنین می‌توان با تجزیه و تحلیل آخرین حوادث امنیتی و به‌روزرسانی‌ها در مورد قوانین و مقررات سایبری، هیئت مدیره را در درک چشم‌انداز امنیتی، بهتر یاری نمود. درک این جریانات به شما کمک می‌کند تا منابع را به بهترین نحو برای محافظت از شرکت استفاده کرده و همچنین با قوانین امنیتی منطقه‌ای به نحو بهتری سازگار شوید.

صحبت درمورد نگرانی‌های مهم مدیران

همانطور که محتوای خود را توسعه می‌دهید، به خاطر داشته باشید که بهترین راه برای جلب توجه هیئت مدیره، همسو کردن پیام‌هایتان با نگرانی‌های مهم آن‌ها است. بسیاری از هیئت مدیره‌ها بر روی سوالات کلیدی زیر تمرکز دارند:

• چگونه شرکت وضعیت ریسک خود مدیریت می‌کند؟
• وضع اداره و مدیریت چگونه است؟
• شرکت چگونه برای آینده آماده می‌شود؟

برای پاسخ دادن به این سوالات، برت در مورد نکات زیر صحبت می‌کند:

• آسیب‌پذیری‌های فنی: تجزیه و تحلیل مداوم از سیستم‌ها و فناوری‌های قدیمی و آسیب پذیری‌های امنیتی آن‌ها.
• اداره و مدیریت: بررسی این که چگونه شیوه‌های امنیتی و ابزارها بر علیه طرح امنیتی‌ای که شرکت در برابر آن برآورده می‌شود، مناسب می‌باشند.
• بدهی و مسئولیت افزوده شده: یک استراتژی برای جلوگیری از بدهی‌های اضافی و کسری بودجه‌ در آینده‌ی شرکت.

در مورد ارتباط موثر با هیئت مدیره و مدیران اجرایی دیگر در سراسر سازمان، یک مسئول امنیت اطلاعات باید بر چهار وظیفه اصلی مدیریت ریسک، نظارت بر معماری فنی، اجرای بازده عملیاتی و مهمتر از همه، نگهداری امنیت سازمان تمرکز کند. در گذشته، مسئولان امنیت اطلاعات به طور کامل بر روی معماری فنی تمرکز داشتند. امروزه مسئولان امنیت اطلاعات خوب و آن‌هایی که می‌خواهند در آینده موفق باشند، می‌دانند که باید این چهار مسئولیت را به تعادل برسانند.