- عنوان کتاب: Building a Cyber Risk Management Program
- نویسنده/انتشارات: Brian Allen, Brandon Bapst, Terry Allan Hicks
- حوزه: مدیریت مخاطرات
- سال انتشار: 2024
- تعداد صفحه: 223
- زبان اصلی: انگلیسی
- نوع فایل: pdf
- حجم فایل: 2.78 مگابایت
ما (برایان و برندون) در یک ماموریت چند ساله برای تعریف بهتر یک برنامه مدیریت ریسک سایبری بودهایم. این سفر با کنجکاوی و تلاشی آگاهانه برای به چالش کشیدن مفاهیم موجود انجام شده است. امیدواریم این کتاب شما را نیز برای شروع یک سفر جدید یا مداوم الهام بخشد، سفری که کنجکاوی و رویکرد متفکرانه شما را برای بلوغ حرفهتان، بلکه بخش یا حرفه شخصیتان برانگیزد. این کتاب نه تنها مدیریت ریسک را تعریف میکند، بلکه نحوه ساخت برنامه مدیریت ریسک سایبری خودتان را نیز شرح میدهد. در حالت ایدهآل، این برنامه توسط استانداردها، قوانین و راهنماییهای معتبر موجود پشتیبانی میشود. این برنامه باید به عنوان یک پایه واقعی برای عناصر استراتژیک یک رویه امنیتی، به تنهایی بایستد. همچنین دارای خروجیهای مورد انتظار و قابل دفاع است. در نهایت، میتواند از رویه امنیتی در میان ناشناختههای دیجیتالی شدن پشتیبانی کند و میتواند تصمیمات استراتژیک را هدایت کند، در برابر مسئولیتهای نوظهور محافظت کند و ارزش امنیت را به عنوان یک شریک استراتژیک بیان کند. همانطور که ما شروع به تجزیه و تحلیل راهنماییهای SEC برای پشتیبانی از تعریف خود از یک برنامه مدیریت ریسک سایبری کردیم، تصویر بزرگتری پدیدار شد. نه تنها کمیسیون بورس و اوراق بهادار (SEC) در حال رسمیت بخشیدن به یک الزام بود، بلکه دادگاهها نیز شروع به بررسی مسئولیت در سطح مدیران شرکتها، از جمله مدیر ارشد امنیت اطلاعات (CISO)، کرده بودند. علاوه بر این، هر صنعتی با خطرات دیجیتالی مواجه بود و تهدیدات و نقضهای امنیتی جدیدی دائماً ظاهر میشدند. سازمانهای امنیتی برای انتقال ارزش تلاشهای خود تلاش میکردند و سعی میکردند در صورت وقوع حادثهای، از متهم کردن دیگران خودداری کنند. این سازمانها دائماً با این تصور که همه چیز به دلیل تصویب بودجه محافظت میشود، مبارزه میکردند. امروزه، همه این چالشها از نظر شدت و پیچیدگی در حال افزایش هستند. هر سازمانی دیجیتالی شده است و سطح ریسکها به صورت تصاعدی، با سرعت فزاینده و بدون گفتگوی لازم یا مناسب در مورد تعادل ریسک، افزایش مییابد. در عین حال، رهبران کسبوکار شروع به خستگی بودجه میکنند و فشار بیشتری را بر سازمانهای امنیتی وارد میکنند، زیرا آنها به تهدیدات بزرگتری – رقابت و حتی عواقب جدیتر – در صورت عدم حرکت سریع در این اقتصاد جدید، نگاه میکنند. سفر ما منجر به ترسیم مراجع مختلفی شده است که به تعریف واضح یک برنامه مدیریت ریسک سایبری کمک کردهاند. معلوم شد که چیزهای زیادی برای استخراج وجود دارد. فقط سازماندهی نشده است. ما راهنماییهای کمیسیون بورس و اوراق بهادار آمریکا (SEC)، استانداردهای بینالمللی ریسک، رویکردهای نظارتی، رویه قضایی و راهنماییهای انجمن ملی مدیران شرکتها (NACD) را در یک چارچوب برنامه مدیریت ریسک سایبری (CRMP) ترسیم کردیم. این چارچوب شامل چهار مؤلفه اصلی است که یک برنامه رسمی را به همراه اصول پشتیبانی که راهنماییهای دقیقتری برای اجرا ارائه میدهند، تشکیل میدهند. این چارچوب از مفاهیم موجود در این کتاب پشتیبانی میکند و میتوان آن را در CRMP.info یافت. پس از اجرا، باید به یک برنامه رسمی مستقل منجر شود – یک برنامه مورد نیاز که به سؤالی که همه اینها را برانگیخته است پاسخ دهد.
We (Brian and Brandon) have been on a multiyear mission to better define a cyber risk management program. This journey has been driven by curiosity and an intentional effort to challenge existing notions. We hope this book will also inspire you to embark on a new or continued journey, hopefully one that stirs your own curiosity and thoughtful approach to maturing your practice, but also your department, or your personal career. This book not only defines risk management but describes how to build your own cyber risk management program. Ideally, this program would be supported by existing standards, laws, and authoritative guidance. It should stand on its own as a true foundation for the strategic elements of a security practice. It also has expected outputs and is defendable. Lastly, it can support security’s practice through the unknowns of digitalization, and it can drive strategic decisions, protect against budding liability, and communicate security’s value as a strategic partner. As we started breaking down the SEC’s guidance to support our definition of a cyber risk management program, a bigger picture emerged. Not only was the SEC formalizing an obligation, but the courts were beginning to close in on corporate-officer-level liability, including the CISO. In addition, every industry experienced digital risks, with new threats and breaches appearing constantly. Security organizations struggled to communicate the value of their efforts, and tried to avoid finger-pointing should something happen. These organizations were continuously fighting the perception that everything is protected because budgets have been approved. Today, all of these challenges are increasing, in degree and complexity. Every enterprise is digitalized, increasing the surface area of risks exponentially, with increasing speed and without the necessary or appropriate conversation of risk balance. All the while, business leaders are starting to get budget fatigue, putting even more pressure on the security organizations as they look over their shoulders at even bigger threats—competition and even more serious consequences if they don’t move fast enough in this new economy. Our journey has led us to map a variety of authorities that helped clearly define a cyber risk management program. It turns out, there’s a lot to pull from. It just hasn’t been organized. We mapped the SEC guidance, international risk standards, regulatory approaches, case law, and guidance from the National Association of Corporate Directors (NACD) into a cyber risk management program (CRMP) framework. The framework covers four core components that make up a formal program along with supporting principles that provide more detailed guidance for implementation. This framework supports the concepts in this book and can be found at CRMP.info. When implemented, it should result in a standalone formal program—a needed program that answers the question that stirred this all up.
این کتاب را میتوانید از لینک زیر بصورت رایگان دانلود کنید:
Download: Building a Cyber Risk Management Program
نظرات کاربران