Votre entreprise est-elle «cyber-résidentielle»? Probablement pas. Voici comment d’autres planches ont corrigé cela

Dans l’escalade de la bataille contre les cyber-états, la plupart des entreprises déversent plus de ressources de sécurité dans la prévention et la détection: garder les attaquants à distance, et si (euh, quand) une violation se produit, y répondez plus rapidement. Bien que cette orientation ait du mérite, une autre stratégie est de gagner du terrain.

Les attaques devenant presque inévitables, plus de conseils d’administration et de chefs d’entreprise veulent plus de concentration sur l’atténuation des conséquences, pour se remettre en service avec un coût ou un impact minimal. Les cyberattaques sophistiquées, des ransomwares aux attaques de phishing, menacent non seulement les actifs informationnels des entreprises, mais aussi, surtout, leur continuité opérationnelle et leur réputation. Et avec les chefs d’entreprise sous la pression croissante des régulateurs et des investisseurs pour mettre en œuvre une gestion efficace de la cyber-risque, beaucoup commencent à l’aborder à travers l’objectif de la cyber-résilience – face à la réalité que les attaques se produiront et auront un plan de reprise lorsqu’ils le feront.

Datant au moins de l’an 2000, l’idée de résilience est de plus en plus devenue un sujet de discussion sérieuse dans les salles de conférence et les caisses C dans les années post-pandemiques de numérisation accélérée. Il reconnaît la dure réalité qu’aucune défense n’est impénétrable.

Au lieu d’essayer simplement de détecter et de répondre aux incidents plus rapidement, la cyber-résilience prépare les organisations à durer et à récupérer rapidement. Cela garantit que lorsque les violations se produisent, leur impact sur les opérations, la réputation et les finances est minimisé, permettant aux entreprises de soutenir leur élan avec un minimum de perturbation.

«L’objectif ultime d’une organisation cyber-résilient serait la perturbation nul d’une cyber-violation – aucun impact sur les opérations, les finances, les technologies, la chaîne d’approvisionnement ou la réputation», explique Keri Pearlson, directrice exécutive du Consortium Cybersecurity de la recherche chez MIT Sloan (CAMS). « Les membres du conseil d’administration devraient demander: » Que faudrait-il pour que ce soit le cas? «  »

Faire monter le conseil d’administration avec des tableaux de bord de la cyber-résilience

Les organismes de réglementation obligent de plus en plus les divulgations liées à la gestion des cyber-risques et la présence de l’expertise en cybersécurité au sein des conseils d’administration. Ainsi, les conseils doivent approfondir leur compréhension et aller au-delà de la déléguation aux experts en gestion des risques, et s’engager activement dans la sauvegarde de leurs entreprises, dit Pearlson. Cela implique une obligation fiduciaire envers les actionnaires d’atténuer efficacement les risques commerciaux, une responsabilité qui se complexe avec le paysage cyber-menace avancé.

Un cours conçu par Pearlson et ses collègues, appelée «Gouvernance de la cybersécurité pour le conseil d’administration», vise à armer les membres du conseil d’administration avec les idées nécessaires pour naviguer dans ce domaine complexe, mettant l’accent sur le rôle essentiel du conseil dans les objectifs commerciaux de la cybersécurité et l’alignement stratégique des mesures de cybersécurité avec des objectifs commerciaux plus larges.

Plus largement, le «tableau de bord de la cyber-résilience» a émergé au cours des dernières années en tant qu’outil pivot dans la transition vers la résilience, servant de cadre complet de cybersécurité pour évaluer, surveiller et améliorer la capacité d’une organisation à résister aux incidents de sécurité.

La vision multidimensionnelle des tableaux de bord de la cyber-résilience

Contrairement aux métriques traditionnelles qui pourraient se concentrer étroitement sur les dénombrements des incidents ou les temps de réponse, un tableau de bord adopte une vision holistique. Il évalue les facteurs à travers le spectre de la cyber-résilience, de la robustesse des mesures de protection et de l’efficacité des protocoles de réponse à la préparation à la récupération et à l’adaptabilité aux menaces émergentes. Cette approche fournit une vision multidimensionnelle de la cyber-résilience d’une organisation, permettant des améliorations ciblées et une prise de décision stratégique.

Pearlson et son équipe du MIT ont développé un modèle de tableau de bord basé sur son expérience dans les réunions du conseil d’administration.

« L’idée du tableau de bord est venue de mon observation sur les conseils que je suis sur ce que les membres du conseil ne savent pas vraiment comment parler de la cybersécurité, numéro un », a expliqué Pearlson, dans une interview exclusive avec Focal Point.

«Numéro deux, les gens de la technologie ne savent pas comment se présenter au conseil d’administration de la cybersécurité. Ils signalent des choses techniques, des choses quantitatives qui sont importantes pour gérer la cybersécurité, mais vraiment, le conseil d’administration n’est pas en mesure de prendre le bon type d’action ou de prendre le bon type de décisions… sans beaucoup d’explications. »

Les principaux secteurs des entreprises qui adoptent des tableaux de bord ces dernières années comprennent les services financiers, les soins de santé, les services informatiques et informatiques, la fabrication et le commerce électronique, certaines entreprises les adoptant en raison de l’augmentation de la réglementation ou de l’augmentation des attaques de chaîne d’approvisionnement, explique Malini Rao, CISO de Deeplearncyber.ai, qui a développé un tableau de bord pour les CISO.

« Ces tableaux de bord offrent une vue complète des vulnérabilités potentielles », a-t-elle déclaré à Focal Point. «Ils peuvent aider à quantifier la probabilité et l’impact potentiel des différentes menaces, permettant aux organisations de hiérarchiser les ressources et les efforts en conséquence.»

Pas une «taille unique»

Il n’y a pas de tableau de bord de cyber-résilience «officiel» et pas de «bonne façon» définie pour le faire. Pearlson a développé le concept en tant que cadre ou modèle, mais la mise en œuvre est quelque peu subjective. Les organisations doivent définir par elles-mêmes ce qui compte et quelles mesures sont utiles pour suivre et surveiller.

Voici quelques exemples de tableaux de bord de la cyber-résilience développés par diverses entités:

• Lockheed Martin: Lockheed Martin a introduit son cadre de niveau de cyber-résilience (CRL) et le tableau de bord correspondant en 2018, illustrant une approche plus formalisée pour mesurer la cyber-résilience au cours de cette période. Le tableau de bord de la cyber-résilience de l’entreprise comprend des outils comme un questionnaire et un tableau de bord pour mesurer les niveaux de maturité de six catégories, notamment la cyber-hygiène et l’architecture.
• Mit: Le Balanced Scorecard for Cyber ​​Resilience (BSCR) fournit un aperçu des performances financières et opérationnelles en combinant des informations sur les activités de base qui pourraient autrement être isolées les unes des autres.
• USDA: Le tableau de bord de la cybersécurité de l’USDA créé avec l’agence de services agricoles met l’accent sur une approche de tableau de bord équilibré aligné sur le cadre du NIST, en se concentrant sur des domaines tels que la conformité, la gestion des vulnérabilités et la réponse aux incidents. L’alignement avec le cadre NIST garantit que l’USDA adopte une approche complète et standardisée de la cybersécurité qui est reconnue et utilisée dans diverses industries. Cet alignement améliore la capacité de l’organisation à gérer et à atténuer efficacement les risques tout en garantissant que tous les aspects de la cybersécurité, de la prévention à la réponse, sont systématiquement abordés.
• Malini Rao: Le tableau de bord équilibré opérationnel de Rao se distingue entre les aspects transformationnels et opérationnels, offrant une double approche pour aligner la cybersécurité avec des objectifs commerciaux stratégiques. Elle défend les tableaux de bord pour aider les CISO à «faire confiance à la confiance en rapportant de manière proactive des mesures… qui peuvent identifier les faiblesses et hiérarchiser les domaines d’amélioration».

Bien qu’il n’y ait pas d’approche «unique» pour un tableau de bord de la cyber-résilience, il y a certains éléments qu’ils ont généralement en commun. Que vous envisagiez un tableau de bord de la cyber-résilience existant ou que vous conceviez le vôtre, recherchez ce cadre de base:

• L’évaluation des risques: Évaluation des cyber-risques potentiels et leur impact sur l’organisation
• Contrôles de sécurité: Examiner l’efficacité des mesures de sécurité mises en œuvre
• Réponse aux incidents: Évaluation des stratégies de préparation et de réponse pour les cyber-incidents potentiels
• Capacités de récupération: Mesurer la capacité de se remettre d’une cyberattaque avec une perturbation minimale

Construisez votre propre tableau de bord Cyber ​​Resilience

Suivez ces étapes clés pour créer un tableau de bord de la cyber-résilience qui est efficace pour votre situation particulière:

• Évaluation et définition d’objectifs: Commencez par évaluer votre posture de cybersécurité actuelle et définir ce que signifie la cyber-résilience pour votre organisation. Cela pourrait impliquer de fixer des objectifs pour les temps de récupération, de réduire l’impact des violations ou d’améliorer les redondances du système.
• Développement du cadre: Développez un tableau de bord qui s’aligne sur vos objectifs de cyber-résilience. Cela devrait inclure un mélange de mesures quantitatives et qualitatives, telles que les objectifs du temps de récupération, les niveaux de formation des employés, la fréquence de sauvegarde du système et l’intégration de la cybersécurité dans la planification de la continuité des entreprises.
• Surveillance et rapport réguliers: Établir une routine pour surveiller les performances contre les mesures de tableau de bord. Cette surveillance devrait faire partie intégrante du processus de gouvernance de la cybersécurité, avec des rapports réguliers aux principales parties prenantes, y compris le conseil d’administration.
• Amélioration continue: Utilisez des informations tirées du tableau de bord pour entraîner une amélioration continue de vos stratégies de cyber-résilience. Cela pourrait impliquer d’ajuster les politiques de cybersécurité, d’investir dans de meilleures technologies de réponse aux incidents ou d’améliorer les programmes de formation des employés.
• Implication et surveillance du conseil d’administration: Assurez-vous que le conseil d’administration est activement impliqué dans la supervision de la mise en œuvre du tableau de bord. Leur perspicacité stratégique et leur surveillance seront cruciales pour aligner les efforts de cyber-résilience avec des objectifs commerciaux plus larges.

En priorisant la cyber-résilience et en adoptant des outils comme un tableau de bord, les organisations peuvent non seulement atténuer les impacts des cyber incidents, mais aussi renforcer leur compétitivité et leur durabilité. RAO recommande d’utiliser l’IA et l’automatisation pour améliorer les rapports de cyber-résilience, comme générer des tableaux de bord hebdomadaires et mensuels. Et n’oubliez pas votre chaîne d’approvisionnement, elle souligne: les entreprises devraient également aligner leurs partenaires tiers pour signaler les mesures de tableau de bord.

Apprenez à protéger vos points de terminaison critiques et vos charges de travail cloud avec la plate-forme Tanium.