Dando segurança cibernética é devido na sala de reuniões: uma entrevista com Cheri McGuire, do Standard Chartered,

Este é o quarto de uma série de artigos e entrevistas sobre o assunto de melhorar o resiliência cibernética - a capacidade de empresas, organizações e instituições para se preparar para e se recuperar e recuperar os cyberatacks. A série cresce fora do trabalho do Boston Consulting Group com o Fórum Econômico Mundial sobre este tópico. O BCG conversou com o Cheri McGuire, o diretor de segurança da informação do grupo da Organização Global da Organização Bancária Chartered, sobre as maneiras de promover um maior entendimento e uma governança mais eficaz de questões de cibercisão e segurança cibernética no nível do conselho. Supervisiona a estratégia de informações e segurança cibernética e gerenciamento de riscos, governança, política, treinamento e conscientização, risco de segurança de terceiros, avaliações de vulnerabilidades e equipes vermelhas, exercícios, engajamento regulatório e parcerias. Com mais de 25 anos de experiência no setor e no governo, ela ocupou cargos seniores na Microsoft, Symantec, a Divisão de Segurança Cibernética do Departamento de Homeland, a equipe de prontidão de emergência dos EUA e Booz Allen Hamilton. Em 2017, a Autoridade Monetária de Cingapura a nomeou para seu primeiro painel consultivo internacional de segurança cibernética. Ela também faz parte do Futuro Global Conselho de Segurança Cibernética do Fórum Econômico Mundial, o Grupo Consultivo de Serviços Financeiros da Europol, o Conselho do Centro de Segurança Cyber ​​e Homeland da Universidade George Washington e o Conselho da Aliança de Defesa Cibernética do Reino Unido. Ela é uma apresentadora frequente sobre gerenciamento e resiliência cibernética, compartilhamento de informações e crime cibernético e testemunhou várias vezes antes do Congresso dos EUA como uma testemunha especialista convidada.

Você trabalhou em várias funções de liderança. Que conselho você pode dar sobre a criação do entendimento interno e da base de conhecimento para o cibernício que permite que uma organização se mova de um pé reativo para uma base mais prospectiva e preventiva?

This can be a challenge for many chief security officers (CSOs) and organizations—building up the strength and maturity of their Recursos de segurança cibernética ao mesmo tempo em que obtém o nível certo de exposição e suporte interno. Muitas organizações ainda estão tentando acertar o básico; Eles ainda estão aprendendo. Há uma série de razões para isso: infraestrutura herdada para a qual a segurança pode ser difícil de implementar, falta de foco ou priorização na segurança cibernética como risco comercial ou simplesmente outras prioridades de negócios, como digitalização, móvel e nuvem. Pode ser um verdadeiro desafio para o OSC e outros - a conformidade ou o diretor de risco, por exemplo - tentar inclinar a escala de uma postura reativa a uma postura proativa. A estrutura NIST define os níveis de maturidade de um a cinco medidos contra as funções centrais de segurança cibernética de identificar, proteger, detectar, responder e recuperar. Isso é essencial para avançar um programa de segurança. Começando com os fundamentos, um CSO pode se afastar de problemas básicos de higiene de segurança e depois passar para habilidades mais avançadas e recursos de segurança. Isso ajudará a organização a aumentar a curva de maturidade e avançar a abordagem geral da segurança. Pode haver uma tendência natural, principalmente entre aqueles de nós na comunidade de segurança, de simplesmente assumir que todos entendem do que estamos falando - especialmente quando usamos muitos jargões técnicos - e que há uma compreensão comum das ameaças e riscos. Normalmente, esse não é o caso, e cabe ao CSO fazer a tradução em termos de negócios e realmente educar líderes em toda a organização. Mas esse é realmente apenas um primeiro passo para entender onde estão os pontos fortes e fracos da organização. Além disso, você deve fazer o ranking de risco certo e priorizar suas lacunas ou fraquezas, e onde deve investir. Muitas organizações - especialmente grandes, globais - têm muitos silos de investimento ao longo de suas operações. Eles têm interesses concorrentes para gastos com investimentos em toda a empresa e em todo o mundo, seja para essa nova tecnologia ou para esse novo produto, ou para esta região, e assim por diante. Pode ser difícil identificar as lacunas de segurança mais graves e, portanto, elas não podem priorizar seus gastos de maneira abrangente em toda a organização. Na minha experiência, a estrutura do NIST pode ajudar uma organização a obter uma compreensão mais completa de qual é a postura de risco e como avançar com uma abordagem integrada versus um programa de segurança em silêncio.

What I’ve found particularly useful is the NIST [National Institute of Standards and Technology] cybersecurity framework, which many organizations are using today as an assessment tool for their cybersecurity postures. The NIST framework sets maturity levels of one through five measured against the core cybersecurity functions of identify, protect, detect, respond, and recover.

By centering your cybersecurity program around the NIST framework, you can create a solid blueprint for winning hearts and minds internally by aligning security considerations and business drivers. This is key to advancing a security program. Starting with fundamentals, a CSO can chip away at basic security hygiene issues and then move on to more advanced skills and security capabilities. This will help the organization move up the maturity curve and advance the overall approach to security.

There’s another aspect as well, which is making sure there is the right level of understanding of security issues within the organization. There can be a natural tendency, particularly among those of us in the security community, to simply assume that everyone understands what we are talking about—especially when we use of a lot of technical jargon—and that there is a common understanding of the threats and risks. That’s not typically the case, and it’s up to the CSO to do the translation into business terms and really educate leaders across the organization.

Are there instances when the NIST framework, or something like it, becomes the basis for a conversation around budgetary planning?

When used as an assessment tool, the NIST framework helps provide an understanding of the organization’s baseline security posture. But that’s really just a first step to understanding where the organization’s strengths and weaknesses are.

The NIST framework provides a guide for understanding where your security controls are strong and where you need to shore them up. But in addition, you have to do the right risk rankings and prioritize your gaps, or weaknesses, and where you should be investing. Many organizations—especially large, global ones—have lots of silos of investment throughout their operations. They have competing interests for investment spending around the company and around the world, whether it is for this new technology or for that new product, or for this region, and so forth.

Oftentimes, organizations don’t have a clear view of what their overall security investment plan is, which actually creates more risk because they are not able to analyze the tradeoffs. It can be difficult to identify the most serious security gaps, and so they can’t prioritize their spending in a comprehensive way across the organization. In my experience, the NIST framework can help an organization get a fuller understanding of what their risk posture is and how to move forward with an integrated approach versus a siloed security program.

Como você garante que a segurança cibernética e o cyberRisk sejam apropriados devido à sala de diretoria? A cibersegurança é vista como parte do perfil geral de risco dos negócios, em oposição a apenas um risco tecnológico? A governança geral em torno do risco é conduzida a partir dessa perspectiva? Se você tem esse entendimento e esse reconhecimento dentro dos negócios, é muito mais fácil ter essa conversa no nível do conselho. Quando você olha para diferentes indústrias, alguns tendem a ter uma melhor consciência das complexidades da segurança cibernética do que outras. Um desafio que muitas placas enfrentam hoje é garantir que eles tenham a experiência necessária à mesa. Na Standard Chartered, temos um consultor externo de segurança cibernética do conselho. Ele participa das sessões do conselho nas quais a cibersegurança está sendo informada e aconselha o conselho através de uma lente objetiva. Esse processo também suporta os conselhos na construção de sua própria conscientização e força de bench em torno de questões cibernéticas, o que ajuda em seus papéis gerais de governança e supervisão. O primeiro é fornecer contexto. Uma coisa é para um CSO apresentar uma métrica ao conselho - por exemplo, "há x número de vulnerabilidades não patches". Isso não diz muito a eles. No entanto, se isso for comunicado, como "há um número de sistemas não patches que suportam um aplicativo de negócios crítico, e esses são os impactos dos negócios que essa exposição ao risco cria", é uma conversa muito diferente. O conselho pode fazer as perguntas certas sobre o que o risco realmente significa para os negócios e o que está sendo feito para resolvê -lo.

It really depends on where the organization is in its prioritization of the issue and its overall risk governance, not just at a board level but also within the operations of the business. Is cybersecurity seen as part of the overall risk profile of the business, as opposed to just a technology risk? Is the overall governance around risk conducted from that perspective? If you have that understanding and that recognition within the business, then it’s much easier to have that conversation at the board level.

There is also an educational component with the board. When you look at different industries, some tend to have a better awareness of the complexities of cybersecurity than others. A challenge that many boards face today is making sure they have the necessary expertise sitting at the table. At Standard Chartered, we have an external cybersecurity advisor to the board. He attends the board sessions at which cybersecurity is being briefed and advises the board through an objective lens. This process also supports boards in building their own awareness and bench strength around cyber issues, which helps in their overall risk governance and oversight roles.

For CSOs, when we are speaking to the board about cyber as a business risk, there are two things that are very important. The first is providing context. It’s one thing for a CSO to present a metric to the board—for example, “There are X number of unpatched vulnerabilities.” That doesn’t tell them much. However, if this is communicated as, “There are Y number of unpatched systems supporting a critical business application, and these are the business impacts this risk exposure creates,” it is a much different conversation. The board can then ask the right questions of what the risk really means for the business and what is being done to address it.

O segundo fator importante é o componente de tradução. Essa é apenas a minha própria perspectiva e remonta ao que eu estava dizendo anteriormente - que para muitos de nós no campo de segurança, há uma suposição de que todo mundo entende nossa língua. É fundamental para o CSO moderno ser um forte tradutor de problemas técnicos e de segurança. Como OSC, fazendo -se algumas perguntas simples ao preparar relatórios para o Conselho pode ajudar a garantir o foco certo - como, o que essa métrica ou ameaça ou risco significa, por que é importante para os negócios, quais são as implicações e impactos potenciais de risco e o que devemos fazer sobre isso de pessoas, processos e perspectivas tecnológicas? Ao se preparar dessa maneira, os CSOs podem ser muito mais eficazes em suas comunicações para o conselho e, por sua vez, o conselho terá uma compreensão muito melhor dos riscos verdadeiros para os negócios e poderá executar de maneira mais eficaz sua função de governança de risco. Isso pode ser difícil de fazer e pode levar várias iterações com o conselho para obter o foco e a compreensão certos do que é importante para eles e para o seu negócio. A abordagem tradicional que muitos CIOs e OSCs adotam tem sido fornecer apenas métricas técnicas ao conselho. Embora sejam absolutamente necessários para executar as operações de TI e segurança, eles também devem ter uma explicação e tradução contextuais do que significam para a empresa e a postura geral de risco de segurança cibernética da organização. Os negócios identificaram seus ativos mais críticos e sistemas de retenção de dados, e quais são os riscos de segurança e negócios associados a eles?

Part of all of this, of course, is making sure that, as CSO, you have the right metrics in place and these are being reported at the right level. This can be difficult to do and can take several iterations with the board to get the right focus and understanding of what is important to them and to your business.

Are there particular metrics that, in your experience, have been particularly useful in furthering board understanding?

Again, it is about asking the right questions. The traditional approach that many CIOs and CSOs take has been to provide only technical metrics to the board. While these are absolutely necessary to running IT and security operations, they also must have a contextual explanation and translation of what they mean to the business and the organization’s overall cybersecurity risk posture.

For example, some types of questions that provide the right insights are:

• Has the board been briefed on the organization’s current threat profile, and what does it mean from a business risk and impact perspective?
• Has the business identified its most critical assets and data-holding systems, and what are the security and business risks associated with them?
• Have those applications and/or systems been prioritized as part of the security program, and how are they being protected, monitored, and measured to reduce risk to the business?

These are somewhat elementary qualitative questions, as opposed to quantitative metrics, but they are representative of the kinds of foundational questions and answers that boards should have.

Outros tipos de perguntas Um CSO deve poder responder como parte de seu envolvimento geral de segurança cibernética com o conselho: O risco foi definido o apetite? Com que frequência você os exercita e em que níveis do negócio eles são exercidos? Identificando, protegendo, detectando, respondendo e se recuperando de ameaças cibernéticas. Você pode ir tão profundamente nesses pilares do núcleo quanto sua organização está preparada para fazer, mas do ponto de vista do conselho, eles fornecem um roteiro sólido para fazer os tipos certos de perguntas de segurança e risco de risco comercial. David Mkrtchian

• How often is the board receiving cybersecurity updates, and what is the right cadence for the organization?
• Does the board understand what the current risk maturity or risk appetite is for the organization? Has the risk appetite been defined?
• How well does the board believe that the risk appetite is reflected in day-to-day decision making?
• Is there the right internal governance structure for risk and control for the day-to-day security operations of the business?
• There are also important aspects of business continuity and response, such as do you have comprehensive response plans in place? How often do you exercise them, and at what levels of the business are they exercised?

Again, these are pretty high-level questions, but they are the questions that a CSO should be able to answer with their board, which will provide them the ability to delve deeper into the organization’s current security maturity and risk posture.

To close, I’ll refer back to the NIST framework again, as it provides clear guidelines for how an organization should be identifying, protecting, detecting, responding to, and recovering from cyberthreats. You can go as deep into those core pillars as your organization is prepared to do, but from a board standpoint, they provide a solid roadmap from which to ask the right kinds of security and business risk governance questions.