Wat beteken die Britse regering se kuberbestuurskode vir u besigheid?
INHOUDSOPGAWE:
Daar was 'n tyd toe kuberveiligheid baie as 'n tegnologiese funksie beskou is. Nie meer nie. Regerings en reguleerders regoor die wêreld vereis toenemend dat direksies meer verantwoordelikheid aanvaar vir die bestuur van kuberrisiko. Dit is nuut SEC se reëls verlede jaar en in die komende bekendgestel NIS2 richtlijn, wat senior bestuur persoonlik aanspreeklik sal maak vir ernstige oortredings. Om nie te oortref nie, volg die Britse regering sy voorbeeld met 'n voorgestelde nuwe Kode van praktyk vir kuberbestuur.
Alhoewel dit vrywillig is, het die regering sy voorneme verklaar om die kode in die “bestaande regulatoriese landskap” in te sluit. Borde sal goed doen om kennis te neem.
Wat is in die leiding?
Gepubliseer in Januarie in konsepvorm, kom die kode te midde van 'n ontstellende agtergrond van oortredings. Volgens die regering, meer as die helfte medium (59%) en groot (69%) Britse besighede het 'n ernstige kuberaanval of oortreding in die 12 maande tot April 2023 gely. Dieselfde studie toon dat, hoewel byna driekwart (71%) van senior bestuurders sê hulle beskou kuberveiligheid as 'n "hoë prioriteit", slegs 30% van besighede het raadslede of trustees wat uitdruklik verantwoordelik is vir kuber as deel van hul rol.
Daarmee word die praktykkode in vyf pilare verdeel:
Risiko bestuur: Om te verseker dat die maatskappy se mees kritieke digitale prosesse, data en dienste geïdentifiseer, geprioritiseer en ooreengekom is. Dit sluit gereelde risikobeoordelings en versagtingstappe, besluite rakende risikovlakke en verskaffersrisikobestuur in.
Kuberstrategie: Monitering en hersiening van kuberveerkragtigheidstrategie in ooreenstemming met risiko-aptyt, besigheidstrategie en wetlike en regulatoriese verpligtinge. Dit sluit in om te verseker dat die toepaslike hulpbronne toegewys word in ooreenstemming met steeds veranderende besigheidsrisiko.
mense: Borg kommunikasie oor die belangrikheid van kuberveerkragtigheid vir die besigheid, die lewering van duidelike kubersekuriteitsbeleide wat 'n positiewe sekuriteitskultuur ondersteun, en dryf en neem deel aan sekuriteitsopleidingsprogramme.
Voorvalbeplanning en reaksie: Om te verseker dat die organisasie 'n plan het om te reageer op en te herstel van kubervoorvalle wat besigheidskritiese prosesse en dienste beïnvloed. Dit sluit in gereelde toetsing van die plan, na-voorval hersiening en die neem van verantwoordelikheid vir regulatoriese verpligtinge.
Versekering en toesig: Vestiging van 'n bestuurstruktuur wat in lyn is met die organisasie, insluitend duidelike definisie van rolle en verantwoordelikhede, en eienaarskap van kuberveerkragtigheid op direkteursvlak. Reguleerdermonitering van kuberveerkragtigheid, die vestiging van 'n tweerigtingdialoog met sleutelbestuurders en formele kwartaallikse verslagdoening, en verseker dat kuberveerkragtigheidstrategie geïntegreer is deur bestaande versekeringsmeganismes.
Hoe moet organisasies reageer?
Darren Anstee, uitvoerende hoof van Netscout, voer aan dat direksies tradisioneel met voorvalbeplanning gesukkel het.
“Die leiding is dat toetsing van 'n organisasie se voorvalhanteringsplan, en gepaardgaande opleiding, minstens jaarliks moet plaasvind. Die meeste organisasies doen dit nou, en dit is baie beter as 'n dekade gelede, maar om dit net jaarliks te doen is nie gereeld genoeg nie,” sê hy aan ISMS.online.
“Ons wil toetsing hê om prosesbekendheid en optimalisering aan te dryf – dit moet nie net gaan om uit te vind waar die plan bygewerk moet word nie, want dit pas nie meer by 'n organisasie se prosesse en tegnologie nie. Dit is die risiko met jaarlikse toetsing.
Anstee voeg by dat direksies ook hul versekering en toesig kan verbeter.
"Die uitdaging hier is nie nuut nie, aangesien dit moeilik kan wees om wat gebeur in terme van bedreigingsverdediging en kuberrisiko in iets betekenisvols op die besigheidsrisikovlak te vertaal," voer hy aan.
“Dit beteken gewoonlik om verskeie datastelle saam te korreleer om verstaanbare statistieke en visualiserings te genereer. Dit is moontlik, en baie belangrik as ons wil hê dat kuberrisiko goed bestuur moet word, maar baie organisasies het nie die hulpbronne om dit goed te doen nie.”
Kevin Curran, IEEE senior lid en professor in kuberveiligheid aan die Ulster-universiteit, voer aan dat direksies dikwels nie daarin slaag om kuberrisiko toereikend te bestuur nie omdat hulle nie betrokkenheid, kundigheid en fokus het nie.
“Sommige areas waar organisasies misluk, sluit in die versuim om deeglike risiko-evaluerings uit te voer of duidelike kuberveiligheidstrategieë daar te stel, wat hulle kwesbaar maak vir bedreigings. Ander gebiede is onvoldoende belegging, verouderde beleide, swak kommunikasie tussen departemente, en 'n nakoming-gesentreerde benadering kan ook kuberveiligheidsbestuur ondermyn,” sê hy aan ISMS.online.
“Uiteindelik behoort die kode organisasies te help om robuuste bestuursraamwerke te vestig, leierskap by kuberveiligheidsbesluite te betrek, gereelde risikobeoordelings uit te voer, voldoende hulpbronne toe te wys, ’n kuberveiligheidsbewuste kultuur te bevorder, en voortdurend hul kuberveiligheidsbestuurspraktyke te verbeter om aan te pas by ontwikkelende bedreigings.”
Volgende stappe met ISO 27001
Voldoening aan die beste praktykstandaarde en raamwerke soos ISO 27001, NIST Cybersecurity Framework, CIS Controls en COBIT kan direksies help om 'n lang pad te gaan om hul doelwitte onder die vyf pilare te bereik, voer Curran aan.
“ISO 27001 bied 'n sistematiese benadering om sekuriteitsrisiko's te identifiseer, te assesseer en te versag, wat help met die prioritisering van digitale bates en die integrasie van risikobestuur in bestuur. Dit sal ook kuberstrategie bevoordeel, aangesien dit 'n Inligtingsekuriteitbestuurstelsel (ISMS) met besigheidstrategie belyn, wat doeltreffende hulpbrontoewysing vir kuberveiligheidstrategiemonitering en hersiening verseker,” verduidelik hy.
“ISO 27001 bevorder sekuriteitskultuur deur beleide en opleiding, wat werknemers se kubergeletterdheid verbeter in ooreenstemming met die organisasie se sekuriteitstrategie. Dit moedig ook insidentreaksiebeplanning aan … en dit help met die definisie van rolle, monitering, verslagdoening en kommunikasie met senior bestuurders – wat kuberveiligheidsintegrasie in bestuurstrukture vergemaklik.”
Alhoewel dit vrywillig is, sal die kode 'n belangrike rol speel in die ontwikkelende regulatoriese landskap, verduidelik Sarah Pearce, vennoot by Hunton Andrews Kurth.
"Die Maatskappywet 2006 en die Britse Korporatiewe Bestuurskode bevat sekere vereistes en ek verstaan dat hierdie kode en gepaardgaande riglyne opgedateer moet word om konsekwentheid met die regering se voorgestelde [kuberbestuur]-praktykkode te verseker," sê sy aan ISMS.online.
“Die regering het gesê hy erken dat die kode 'nie voldoende op sy eie is om die vereiste verbeterings in kuberrisikobestuur op direksievlak aan te dryf nie'. Dit ondersoek die gebruik daarvan om reguleerders te ondersteun om te verstaan hoe dit gebruik kan word om te help met regulatoriese nakoming, insluitend met die Britse GDPR en NIS-regulasies.”
