וואָס טוט די סייבער-גאַווערנאַנס קאָוד פון פיר פון די וק רעגירונג מיינען פֿאַר דיין געשעפט?

קסנומקס מאַרץ קסנומקס

אינהאַלט פון אינהאַלט:

1) וואָס איז אין די גיידאַנס?
2) ווי זאָל אָרגאַנאַזיישאַנז רעספּאָנד?
3) ווייַטער סטעפּס מיט ISO 27001

עס איז געווען אַ צייט ווען סייבערסעקוריטי איז געווען זייער פיל ווי אַ טעכנאָלאָגיע פונקציע. מער נישט. גאַווערמאַנץ און רעגולאַטאָרס איבער דער וועלט זענען ינקריסינגלי מאַנדייטינג אַז באָרדז נעמען מער פֿאַראַנטוואָרטלעכקייט פֿאַר אָנפירונג סייבער ריזיקירן. עס איז נייַ סעק ס כּללים באַקענענ לעצטע יאָר און אין די קומענדיק NIS2 דירעקטיוו, וואָס וועט מאַכן עלטער פאַרוואַלטונג פּערסנאַלי פאַראַנטוואָרטלעך פֿאַר ערנסט בריטשיז. ניט צו זיין אַוטדאַן, די וק רעגירונג איז נאָך פּאַסן מיט אַ פארגעלייגט נייַ קאָדעקס פון פיר פֿאַר סייבער גאַווערנאַנס.

כאָטש עס איז וואַלאַנטערי, די רעגירונג האט דערקלערט זיין כוונה צו אַרייַנלייגן די קאָד אין די "יגזיסטינג רעגולאַטאָרי לאַנדשאַפט". באָרדז וואָלט טאָן גוט צו נעמען טאָן.

וואָס איז אין די גיידאַנס?

פֿאַרעפֿנטלעכט אין יאנואר אין פּלאַן פאָרעם, די קאָד קומט צווישן אַ דיספּירייטינג באַקדראַפּ פון בריטשיז. לויט צו די רעגירונג, איבער האַלב מיטל (59%) און גרויס (69%) וק געשעפטן געליטן אַ ערנסט סייבער-אַטאַק אָדער בריטש אין די 12 חדשים ביז אפריל 2023. דער זעלביקער לערנען ריווילז אַז, כאָטש קימאַט דריי-פערטל (71%) פון עלטער מאַנאַדזשערז זאָגן אַז זיי זען סייבערסעקוריטי ווי אַ "הויך בילכערקייַט", בלויז 30% פון געשעפטן האָבן באָרד מיטגלידער אָדער טראַסטיז בפירוש פאַראַנטוואָרטלעך פֿאַר סייבער ווי אַ טייל פון זייער ראָלע.

מיט דעם, די קאָוד פון פיר איז שפּאַלטן אין פינף פּילערז:

ריזיקירן פאַרוואַלטונג: ינשורינג די פירמע 'ס מערסט קריטיש דיגיטאַל פּראַסעסאַז, דאַטן און באַדינונגס זענען יידענאַפייד, פּרייאָראַטייזד און מסכים. דאָס כולל רעגולער ריזיקירן אַסעסמאַנץ און מיטיגיישאַן סטעפּס, דיסיזשאַנז וועגן ריזיקירן לעוועלס און סאַפּלייער ריזיקירן פאַרוואַלטונג.

סייבער סטראַטעגיע: מאָניטאָרינג און ריוויוינג סייבער-ריזיליאַנס סטראַטעגיע אין שורה מיט ריזיקירן אַפּעטיט, געשעפט סטראַטעגיע און לעגאַל און רעגולאַטאָרי אַבלאַגיישאַנז. דאָס כולל ינשורינג די צונעמען רעסורסן זענען אַלאַקייטיד אין שורה מיט טאָמיד-טשאַנגינג געשעפט ריזיקירן.

מענטשן: ספּאָנסאָרינג קאָמוניקאַציע וועגן די וויכטיקייט פון סייבער-ריזיליאַנס צו די געשעפט, צושטעלן קלאָר סייבערסעקוריטי פּאַלאַסיז וואָס שטיצן אַ positive זיכערהייט קולטור, און דרייווינג און אָנטייל נעמען אין זיכערהייט טריינינג מגילה.

אינצידענט פּלאַנירונג און ענטפער: ינשורינג די אָרגאַניזאַציע האט אַ פּלאַן צו ריספּאַנד צו און צוריקקריגן פון סייבער ינסאַדאַנץ וואָס פּראַל אויף געשעפט-קריטיש פּראַסעסאַז און באַדינונגס. דאָס כולל רעגולער טעסטינג פון דעם פּלאַן, רעצענזיעס נאָך ינסידענט און נעמען פֿאַראַנטוואָרטלעכקייט פֿאַר רעגולאַטאָרי אַבלאַגיישאַנז.

פאַרזיכערונג און השגחה: פאַרלייגן אַ גאַווערנאַנס סטרוקטור וואָס אַליינז מיט דער אָרגאַניזאַציע, אַרייַנגערעכנט קלאָר דעפֿיניציע פון ראָלעס און ריספּאַנסאַבילאַטיז, און אָונערשיפּ פון סייבער-ריזיליאַנס אויף דירעקטאָר מדרגה. רעגולאַטאָר מאָניטאָרינג פון סייבער ריזיליאַנס, גרינדן אַ צוויי-וועג דיאַלאָג מיט שליסל עקסערסייזיז און פאָרמאַל קאָרטערלי ריפּאָרטינג, און ינשורינג סייבער ריזיליאַנס סטראַטעגיע איז ינאַגרייטיד אַריבער יגזיסטינג פארזיכערונג מעקאַניזאַמז.

ווי זאָל אָרגאַנאַזיישאַנז רעספּאָנד?

Darren Anstee, CTO אין Netscout, טענהט אַז באָרדז האָבן טראַדישאַנאַלי סטראַגאַלד מיט אינצידענט פּלאַנירונג.

"די גיידאַנס איז אַז טעסטינג פון אַן אָרגאַניזאַציע ס אינצידענט האַנדלינג פּלאַן, און פֿאַרבונדן טריינינג, זאָל פּאַסירן בייַ מינדסטער אַניואַלי. רובֿ אָרגאַנאַזיישאַנז טאָן דאָס איצט, און דאָס איז פיל בעסער ווי אַ יאָרצענדלינג צוריק, אָבער נאָר טאָן דאָס אַניואַלי איז נישט אָפט גענוג," ער דערציילט ISMS.online.

"מיר ווילן טעסטינג צו פירן פּראָצעס פאַמיליעראַטי און אַפּטאַמאַזיישאַן - עס זאָל נישט זיין ריין וועגן דערגייונג ווו דער פּלאַן דאַרף זיין דערהייַנטיקט ווייַל עס ניט מער גלייַכן די פּראַסעסאַז און טעכנאָלאָגיע פון די אָרגאַניזאַציע. אַז ס די ריזיקירן מיט טעסטינג אַניואַלי.

Anstee מוסיף אַז באָרדז קען אויך פֿאַרבעסערן זייער פארזיכערונג און פאַרזע.

"די אַרויסרופן דאָ איז נישט נייַ, אין אַז איבערזעצן וואָס כאַפּאַנז אין טערמינען פון סאַקאָנע פאַרטיידיקונג און סייבער ריזיקירן אין עפּעס מינינגפאַל אין די געשעפט ריזיקירן מדרגה קען זיין שווער," ער טענהט.

"דאס יוזשאַוואַלי מיטל קאָראַלייטינג קייפל דאַטאַסעץ צוזאַמען צו דזשענערייט פאַרשטיייק מעטריקס און וויזשוואַלאַזיישאַנז. דאָס איז מעגלעך, און זייער וויכטיק אויב מיר וועלן סייבער ריזיקירן צו זיין געזונט געראטן, אָבער פילע אָרגאַנאַזיישאַנז טאָן ניט האָבן די רעסורסן צו טאָן דאָס געזונט.

Kevin Curran, IEEE עלטער מיטגליד און פּראָפעסאָר פון סייבערסעקוריטי אין אַלסטער אוניווערסיטעט, טענהט אַז באָרדז אָפט פאַרלאָזן צו אַדאַקוואַטלי פירן סייבער ריזיקירן ווייַל זיי פעלן באַשטעלונג, עקספּערטיז און פאָקוס.

"עטלעכע געביטן ווו אָרגאַנאַזיישאַנז זענען פיילינג אַרייַננעמען פיילינג צו דורכפירן גרונטיק ריזיקירן אַסעסמאַנץ אָדער פאַרלייגן קלאָר סייבערסעקוריטי סטראַטעגיעס, וואָס לאָזן זיי שפּירעוודיק פֿאַר טרעץ. אנדערע געביטן זענען ינאַדאַקוואַט ינוועסמאַנט, אַוטדייטיד פּאַלאַסיז, נעבעך קאָמוניקאַציע צווישן דיפּאַרטמאַנץ און אַ העסקעם-סענטריק צוגאַנג קענען אויך אַנדערמיין סייבערסעקוריטי גאַווערנאַנס, "ער דערציילט ISMS.online.

"ענדלעך, די קאָד זאָל העלפֿן אָרגאַנאַזיישאַנז גרינדן געזונט גאַווערנאַנס פראַמעוואָרקס, אַרייַנציען פירערשאַפט אין סייבערסעקוריטי דיסיזשאַנז, אָנפירן רעגולער ריזיקירן אַסעסמאַנץ, אַלאַקייט גענוג רעסורסן, פאַסטער אַ סייבערסעקוריטי-אַווער קולטור און קאַנטיניואַסלי פֿאַרבעסערן זייער סייבערסעקוריטי גאַווערנאַנס פּראַקטיסיז צו אַדאַפּט צו יוואַלווינג טרעץ."

ווייַטער סטעפּס מיט ISO 27001

נאָכקומען מיט די בעסטער פיר סטאַנדאַרדס און פראַמעוואָרקס ווי ISO 27001, NIST Cybersecurity Framework, CIS קאָנטראָלס און COBIT קען העלפֿן באָרדז גיין אַ לאַנג וועג צו טרעפן זייער אַבדזשעקטיווז אונטער די פינף פּילערז, טענהט Curran.

"ISO 27001 אָפפערס אַ סיסטעמאַטיש צוגאַנג צו ידענטיפיצירן, אַססעסס און פאַרמינערן זיכערהייט ריסקס, העלפּינג אין פּרייאָראַטייזינג דיגיטאַל אַסעץ און ינטאַגרייטינג ריזיקירן פאַרוואַלטונג אין גאַווערנאַנס. עס וועט אויך נוץ סייבער סטראַטעגיע ווי עס אַליינז אַן אינפֿאָרמאַציע סעקוריטי מאַנאַגעמענט סיסטעם (ISMS) מיט געשעפט סטראַטעגיע, ינשורינג עפעקטיוו מיטל אַלאַקיישאַן פֿאַר סייבערסעקוריטי סטראַטעגיע מאָניטאָרינג און רעצענזיע, "ער דערקלערט.

"ISO 27001 פּראַמאָוץ זיכערהייט קולטור דורך פּאַלאַסיז און טריינינג, ימפּרוווינג די סייבער ליטעראַסי פון עמפּלוייז אין לויט מיט די זיכערהייט סטראַטעגיע פון דער אָרגאַניזאַציע. עס אויך ינקעראַדזשאַז ינסידענט ענטפער פּלאַנירונג ... און עס אַידז אין דיפיינינג ראָלעס, מאָניטאָרינג, ריפּאָרטינג און קאָמוניקאַציע מיט עלטער יגזעקיאַטיווז - פאַסילאַטייטינג סייבערסעקוריטי ינאַגריישאַן אין גאַווערנאַנס סטראַקטשערז.

כאָטש וואַלאַנטערי, די קאָד וועט שפּילן אַ וויכטיק ראָלע אין די יוואַלווינג רעגולאַטאָרי לאַנדשאַפט, דערקלערט Sarah Pearce, שוטעף אין Hunton Andrews Kurth.

"די קאָמפּאַניעס אקט 2006 און די וק קאָרפּאָראַטע גאַווערנאַנס קאָוד אַנטהאַלטן זיכער רעקווירעמענץ און איך פֿאַרשטיין דעם קאָד און פֿאַרבונדן גיידאַנס זאָל זיין דערהייַנטיקט צו ענשור קאָנסיסטענסי מיט די רעגירונג ס פארגעלייגט [סייבער-גאַווערנאַנס] קאָוד פון פיר," זי דערציילט ISMS.online.

"די רעגירונג האָט געזאָגט אז זי אנערקענט אז דער קאָד איז 'ניט גענוג אַליין צו פירן די נויטיק ימפּרווומאַנץ אין סייבער-ריזיקירן פאַרוואַלטונג אויף ברעט מדרגה'. עס איז יקספּלאָרינג זייַן נוצן אין שטיצן רעגיאַלייטערז צו פֿאַרשטיין ווי עס קען זיין גענוצט צו אַרוישעלפן מיט רעגולאַטאָרי העסקעם, אַרייַנגערעכנט מיט די וק GDPR און NIS רעגולאַטיאָנס.

מחבר

פיל מונקאַסטער

Phil Muncaster איז געווען אַן IT זשורנאַליסט פֿאַר 15 יאָר. ער סטאַרטעד ווי אַ רעפּאָרטער אויף ענטערפּרייז IT טיטל IT וואָך אין 2005 און פּראַגרעסט צו די ראָלע פון נייַעס עדיטאָר איידער ער געלאזן צו נאָכגיין אַ פרילאַנס קאַריערע. זינט דעמאָלט, Phil האט געשריבן פֿאַר טיטלען אַרייַנגערעכנט די רעדזשיסטער, ווו ער געארבעט ווי אזיע קארעספאנדענט בשעת באזירט אין האָנג קאָנג פֿאַר איבער צוויי יאָר, MIT טעכנאָלאָגיע איבערבליק, SC מאַגאַזין, ינפאָסעקוריטי מאַגאַזין און אנדערע.

זען אַלע אַרטיקלען דורך Phil Muncaster