Hoe een goed functionerend bestuursmodel voor informatiebeveiliging te bouwen
Gesundheit der Familie

Hoe een goed functionerend bestuursmodel voor informatiebeveiliging te bouwen

Het succesvol implementeren van een informatiebeveiligingsprogramma in elke organisatie kan tegenwoordig een van de meest complexe ondernemingen zijn. Als beveiligingsprofessional is het uw taak om manieren te vinden om bedrijfsactiva, reputatie en gegevens te beschermen, terwijl u elke negatieve operationele impact op de dagelijkse gang van zaken vermijdt.

We hebben dit allemaal al een miljoen keer gehoord of gezegd: "Breng het beveiligingsprogramma op één lijn met het bedrijf."

Dat is een evenwichtsoefening die een zeer zorgvuldige aanpak en aanzienlijke betrokkenheid van een breed scala van belanghebbenden vereist om succesvol te kunnen implementeren. Combineer dat met de behoefte aan voldoende financiering, personeel en organisatorische ondersteuning, en wat er aan de andere kant uitkomt, is de huidige status van de meeste informatiebeveiligingsprogramma's.

Die staat varieert zeer sterk in volwassenheid en succes tussen brancheverticalen en van de ene organisatie naar de andere. In alle complexiteit en diversiteit van programma's is een van de weinige consistenties die tot succes leiden goed bestuur en betrokkenheid van de commissie. Overweeg deze drie ideeën voordat u een commissiebenadering ontwerpt.

Betrek de juiste stakeholders

De eerste neiging bij het samenstellen van een commissieoverzicht kan zijn om diegenen uit te nodigen die volgens u sterke voorstanders van het programma zijn, kampioenen van informatiebeveiliging of leiders met wie u goed opgebouwde relaties hebt.

Dit zijn allemaal goede ideeën; het is echter uiterst belangrijk om hier uit je comfortzone te stappen en ook enkele potentiële of bevestigde verzetsstrijders binnen te halen. Een van de slechtst mogelijke scenario's voor een beveiligingsprogramma is om ondersteuning en goedkeuring van het bestuur te krijgen na maanden van onderzoek, analyse en voorbereiding, maar het te laten opblazen door een enkele resister met voldoende invloed om dit te doen.

Breng in plaats daarvan die mensen in de kamer en laat hun stem vroeg en vaak horen. Als ze geen sterke kampioenen van veiligheid zijn, is het net zo belangrijk voor hen om te geloven dat ze een stem hebben als voor de rest van de groep om te begrijpen waar het programma tegen is. Ontwerp een commissieteam dat elkaar en het programma regelmatig uitdaagt.

Timing is de sleutel

De frequentie van beveiligingsbeheer is van cruciaal belang en het kan moeilijk zijn om het goed te krijgen. Ik ben geneigd te geloven dat frequentie sterk afhankelijk is van de volwassenheid van het programma en de huidige status van de organisatie. Nieuwere programma's die belangrijke veranderingen stimuleren, zouden veel vaker hun bestuurscommissies moeten ontmoeten om verrassingen te beperken en te profiteren van een brede betrokkenheid van senior leidinggevenden.

Jaarlijkse vergaderingen zijn niet bijna frequent genoeg, en twee keer per maand is waarschijnlijk veel te vaak voor de meeste organisaties. Elk programma heeft een frequentie van vergaderingen die precies goed is voor het bedrijf en het programma, maar de vuistregel moet niet minder dan driemaandelijks zijn.

Een benadering die ik zeer succesvol heb gevonden, is om tweemaandelijkse vergaderingen van het uitvoerend comité te houden en uw subcomités in de off-maanden te hosten. Dit geeft u de mogelijkheid om alle feedback en aanwijzingen van het subcomité ter kennis en goedkeuring voor te leggen aan uw uitvoerend comité.

Over subcommissies gesproken, zorg dat je er een paar hebt. Als u uw uitvoerend beveiligingscomité correct ontwerpt, zult u er snel achter komen dat zij niet het publiek zijn voor alle informatiebeveiliging. Er zijn geïsoleerde kwesties die misschien niet de pit hebben om in uw directiecomité te komen, maar die een bepaald bestuursniveau vereisen.

Dit is waar subcommissies en op commissies gebaseerde commissies voor zijn. Het is geen kwaad om een ​​aantal hiervan te bouwen, zolang je crossover in het lidmaatschap niet belangrijk is. Belangrijke belanghebbenden zijn druk en het bijwonen van drie tot vier commissievergaderingen over beveiliging per maand is geen goed gebruik van hun tijd.

Laat de commissie hun werk doen

De verantwoordelijkheden van een bestuurscommissie omvatten het bepalen van de programmarichting, het doen van aanbevelingen, het beoordelen en goedkeuren van wijzigingen en het bieden van begeleiding die het beveiligingsprogramma kan helpen bij het navigeren door complexe organisatorische uitdagingen. Wat ze niet verzamelen, is een uur lang blijven zitten luisteren naar een update van het programma, hun hoofd knikkend goedkeurend voordat ze na een paar "goede banen" vertrekken.

Betrek ze vroeg en vaak bij uw presentaties. Het kan geen kwaad om informatie-items aan de agenda toe te voegen; vind echter een manier om betrokkenheid van de commissie ook in die onderwerpen op te nemen. Als u een update geeft over de effectiviteit van uw bewustmakingsprogramma en minder mislukte phishing-simulaties, vraag hen wat zij denken dat het programma kan doen om de cultuur van het bedrijf nog verder te penetreren door middel van bewustmakingsinspanningen.

Laat uw commissie zich persoonlijk geïnvesteerd voelen in het programma. Ze moeten allemaal een gevoel van betrokkenheid en trots voelen op het succes van het programma, en een ontevredenheid en verantwoordelijkheid in het falen ervan. Vraag jezelf af of de leden van je commissie deze dingen over je programma zouden voelen. Als dat niet het geval is, hebt u de verkeerde leden of biedt u hen onvoldoende gelegenheid om de richting te bepalen.

Ongeacht hoe u uw commissie bouwt, het is van cruciaal belang dat u toezicht houdt op uw governance binnen uw programma. De beslissing voor grote veranderingen in de veiligheidstoestand bij elk bedrijf mag niet in een vacuüm plaatsvinden. Dit brengt operaties, projecten en moraal in gevaar.

Maak in plaats daarvan een richting voor het programma op basis van een combinatie van de vakkennis van het team en begeleiding en ondersteuning van het uitvoerend bestuur. Het resultaat is een doordachtere benadering van het rijpen van de beveiligingspositie van uw bedrijf en veel minder weerstand wanneer dit gebeurt.

Het belangrijkste is dat het bedrijf informatiebeveiliging bezit – niet alleen het programma.

Dan Costantino is de Chief Information Security Officer van Penn Medicine.

Leave a Reply

Your email address will not be published. Required fields are marked *