Товарищ Рафик предлагает CISO в ближайший год-полтора заняться следующими вопросами:
Обеспечением безопасности генеративного ИИ — правила использования разработать, ИИ-инструменты подобрать и требования к ним утвердить, обучить сотрудников работе с ними и процессы ИБ натянуть обновить под новые технологии.

Консолидацией и рационализацией инструментов безопасности — ROI посчитать, опенсорс подыскать, а если опенсорса подходящего нет, то выбрать хорошее коммерческое решение с приличным API.

Выявлением и управлением долгом безопасности — покопаться в тикетах, оценить время/деньги на их закрытие и руководству показать в отчетности (в деньгах, конечно же).

Программами-вымогателями и киберустойчивостью — учения провести, оценить возможное влияние, бэкапы проверить и страховку "на всякий случай" купить.

Созданием "значимых" метрик — считать не всё подряд, а лишь то, что влияет на уровень риска, а точнее его снижение, не забывая про эффективность мер защиты и автоматизацию подсчёта метрик.

Улучшением кибергигиены — отслеживаем цифровой след организации и сотрудников, сокращаем поверхность атаки, улучшаем безопасность API, не усложняем процессы, не забываем про управление рисками третьих сторон.

#ciso #midmap #кратко