SOC:n ja johtoryhmän välinen kuilu
Nykyaikaisissa yrityksissä kyberturvallisuus on pohjimmiltaan muuttunut IT:n alalajista yrityshallinnon ensisijaiseksi pilariksi. Hallitus on nyt laillisesti ja taloudellisesti vastuussa kyberresilienssistä. Siitä huolimatta, että vastuu on siirtynyt, tietoturvatiimien tapa raportoida riskeistä ylimmälle johdolle on edelleen vanhanaikainen.
Kun tietoturvajohtaja (CISO) esittelee neljännesvuosikatsauksensa, diat ovat usein täynnä käyttövalmiiden SIEM-alustojen tuottamia operatiivisia mittareita: estettyjen tunkeutumisyritysten määrä, käsitellyt lokitiedostojen gigatavut, karanteeniin asetettu haittaohjelma ja keskimääräinen havaitsemisaika (MTTD).
Tekniselle tiimille nämä luvut kertovat kovasta työstä ja valppaudesta. Talousjohtajalle (CFO) tai toimitusjohtajalle (CEO) nämä luvut ovat käytännössä merkityksettömiä. Ne edustavat Teknistä kohinaa pikemminkin kuin Liiketoiminnan selkeyttä. Hallitus ei voi tehdä budjetti- tai strategisia päätöksiä "tuhansien estettyjen palomuurikyselyjen" perusteella. Heidän on tiedettävä vastaus kolmeen tiettyyn kysymykseen:
- Ovatko tulovirtaa tuottavat toimintomme turvassa?
- Ovatko meitä uhkaamassa vaatimustenmukaisuussakot tai henkilökohtainen vastuu?
- Vähentääkö kyberturvallisuusinvestointimme aktiivisesti taloudellista riskiämme?
Käyttövalmiin tietoturvaraportoinnin harha
Tämän viestintäkuilun perimmäinen syy on käytetyissä työkaluissa. Standardit kyberturvallisuusalustat on rakennettu insinööreille, insinöörien toimesta. Kun keskisuuri yritys hankkii perinteisen SIEM- tai SOAR-alustan ja luottaa vakiokäyttöönottoon, järjestelmä suorittaa ensisijaisen tehtävänsä virheettömästi: se havaitsee tekniset poikkeamat.
Vakiokäyttöönotto toimii kuitenkin täysin ilman liiketoimintakontekstia. Se käsittelee jokaista palvelinta IP-osoitteena eikä kriittisenä liiketoimintatoimintona. Jos haavoittuvuus havaitaan erillisessä vieras-Wi-Fi-reitittimessä, järjestelmä saattaa merkitä sen "korkeaksi vakavuusasteeksi". Jos haavoittuvuus havaitaan asiakkaan kassaprosessia pyörittävässä tietokannassa, sekin merkitään "korkeaksi vakavuusasteeksi".
Kun kaikki on korkean vakavuusasteen luokkaa, tietoturvatiimi kärsii hälytysväsymyksestä, ja hallitus saa raportin, joka osoittaa yrityksen olevan jatkuvasti katastrofin partaalla, ilman selkeää priorisointipolkua.
Johtoryhmälle suunnattujen tietoturvakertomusten 4 pilaria
Kielikuilun ylittämiseksi organisaatioiden on siirryttävä raportoimaan tapahtumista raportointiin liittyen tuloksiin. Johtotasolle sopiva esitys edellyttää teknisen tiedon kääntämistä neljän erityisen näkökulman kautta:
1. Taloudelliset vaikutukset ja riskissä oleva arvo
Johtajat johtavat liiketoimintaa tuloslaskelman (P&L) kautta. Tietoturvaraportoinnin on heijastettava tätä. Sen sijaan, että raportoitaisiin "viisi kriittistä haavoittuvuutta korjattiin", esityksen tulisi todeta: "Korjasimme viisi haavoittuvuutta ERP-tietokannasta. Tämä järjestelmä tuottaa 50 000 euroa tunnissa käsitellyllä logistiikalla. Korjaamalla ennakoivasti ja priorisoimalla tämän omaisuuden suojasimme 1,2 miljoonaa euroa mahdolliselta päivittäiseltä käyttökatkosriskiltä."
2. Toiminnan jatkuvuus
Sen sijaan, että raportoitaisiin "hälytysten määrä", raportoi "liiketoiminnan häiriöiden määrä". Hallituksen tulisi nähdä kartta kriittisistä liiketoimintatoiminnoista (esim. palkanlaskenta, verkkokauppa, T&K) sekä toiminnallinen terveyspistemäärä. Jos järjestelmään kohdistuu häiriö, raportin tulisi korostaa sen vaikutusta sisäiseen tuottavuuteen tai asiakaspalvelun palvelutasosopimuksiin (SLA), ei pelkästään mukana olevan haittaohjelman teknisiä yksityiskohtia.
3. Sääntelyasema
Kun NIS2:n ja GDPR:n kaltaiset säännökset määräävät massiivisia sakkoja, hallitus tarvitsee jatkuvaa varmuutta. Tekniset korjausmittarit tulisi kääntää vaatimustenmukaisuusmittareiksi: "Eristämällä vaarantuneet päätepisteet 12 minuutin kuluessa täytimme GDPR:n 32 artiklan mukaiset velvoitteemme varmistaa jatkuva luottamuksellisuus, lieventäen tietoturvaloukkauksesta ilmoittamisen riskiä."
4. Häiriöiden vähentäminen ja tehokkuuden ROI
Näytä talousjohtajalle, miten automaatio säästää rahaa. Sen sijaan, että raportoitaisiin "suoritetut toimintamallit", raportoi: "Kontekstitietoinen suodatus vähensi vääriä positiivisia hälytyksiä 60 %, vapauttaen 40 tuntia analyytikon aikaa tässä kuussa, alentaen tehokkaasti yksikkökustannuksiamme per tapaus."
Miten integraatiokumppani siltaa kuilun
Kielimuurin ylittäminen vaatii enemmän kuin vain puhetavan muuttamista kokouksissa; se vaatii muutoksia siihen, miten tietoturva-arkkitehtuurisi otetaan käyttöön.
Tässä kohtaa ohjelmistotoimittajan ja implementointikumppanin ero tulee kriittiseksi. Nuqella emme vain luovuta ohjelmistolisenssiä. Otamme käyttöön SecureVision – alustan, joka on todistettu yli 150 yritysympäristössä ja jolla on yli 14 vuoden kypsyys – ja suunnittelemme sen päälle Liiketoimintatiedon kerroksen sen päälle.
Räätälöidyn 2–4 viikon implementointiprosessimme aikana asiantuntijamme työskentelevät johtoryhmänne kanssa kartuttaakseen erityiset liiketoimintaprosessinne, vaatimustenmukaisuusvelvoitteenne ja tulovirranne suoraan SecureVisio-alustalle.
Tulos? Kun SecureVisionin yritystason moottori havaitsee uhan, Nuqen älykkyyskerros merkitsee välittömästi hälytyksen liiketoiminnan tulonmenetysriskillä, vaatimustenmukaisuuspuutteilla ja operatiivisella riskillä. SOC-tiimisi saa syvällistä teknistä tietoa, jota he tarvitsevat uhkien metsästämiseen, samalla kun johtoryhmän hallintapaneelit täyttyvät dynaamisesti hallitukselle valmiilla selityksillä heti alusta alkaen. Siirryt budjetin puolustamisesta hämmentävillä teknisillä kaavioilla arvosi todistamiseen kiistattomalla liiketoimintatiedolla.
NEED HELP TRANSLATING YOUR SECURITY OPERATIONS INTO BUSINESS LANGUAGE?
We implement SecureVisio with business intelligence built in.
