Искусство донесения технических рисков до руководителей

В этом видео от Help Net Security Джей Миллер, директор по информационной безопасности в Paessler, объясняет, как руководителям служб безопасности следует доносить технические риски до руководства и членов совета директоров на понятном им языке. Основное внимание уделяется влиянию на бизнес: финансовым потерям, штрафам за несоблюдение нормативных требований, ущербу для репутации и производительности. Миллер разбирает три ключевых принципа: описывать последствия простыми словами, приходить на встречу с данными и четкой историей, а также быть откровенным в том, что произошло и что еще требует исправления.

Он приводит реальные примеры, включая раскрытие уязвимости с 90-дневным сроком устранения, ошибочную настройку безопасности, позволившую злоумышленнику получить кратковременный доступ, и ситуацию слияния и поглощения, где компании с низким уровнем защиты потребовалось срочное усиление безопасности до какого-либо публичного объявления. В каждом случае урок один и тот же: избегайте технического жаргона, выстраивайте историю с началом и решением, предоставляйте руководству информацию, необходимую для принятия решений, без обвинений и драмы.

Узнайте больше:

• Взгляд директора по безопасности на то, почему советы директоров не до конца понимают риски кибератак
• Как руководителям служб безопасности говорить о кибербезопасности так, чтобы это было понятно руководству
• Как директорам по безопасности поднять значимость вопросов кибербезопасности в обсуждениях совета директоров