שגיאה קלאסית: CISO מציג לדירקטוריון דוח עם מאות פגיעויות, ציוני CVSS, ומשפכי Threat Actor. הדירקטורים מהנהנים ולא מבינים. בסוף ה-Meeting, כלום לא השתנה. הבעיה לא בדירקטוריון – בצגייה. סיכוני סייבר חייבים להיות מתורגמים לשפה עסקית.
מה הדירקטוריון רוצה לדעת
האם הסיכון שלנו גדל או קטן? האם אנחנו ציות לרגולציה? כמה עלה לנו הסייבר ומה ה-ROI? האם ה-Insurance מכסה את הסיכון? מה אנחנו עושים שונה מהשנה שעברה?
מבנה הדיווח הרבעוני המומלץ
- 1Executive Summary (1 דף) – Risk Posture: ירד/עלה/יציב. 3 ממצאים עיקריים. 3 הצלחות.
- 2Risk Dashboard – Top 5 סיכונים עסקיים עם סטטוס (Open/Mitigated), תאריך יעד, ו-Business Impact בש"ח.
- 3Compliance Status – ירוק/צהוב/אדום לכל רגולציה רלוונטית. אין מילים מיותרות.
- 4Incident Summary – אירועים ברבעון: מספר, חומרה, תגובה, לקחים.
- 5Investment Request – אם נדרש תקציב נוסף: Business Justification ברור עם ROI.
שפה שעובדת
- במקום "יש לנו 150 Critical CVEs" → "פגיעויות קריטיות בשרתי הפרודקשן עלולות לגרום להפסקת שירות. עלות שחזור מוערכת: $500K. אנחנו מטפלים ב-80% מהן עד סוף הרבעון."
- במקום "לא יישמנו MFA" → "20% מהעובדים אינם מוגנים ב-MFA, מה שמגביר את הסיכון ל-Account Takeover. Remediation: 2 שבועות."
- במקום "Zero Trust" → "מנגנון שמוודא שכל גישה למידע רגיש מאומתת כראוי, גם אם מכשיר עובד נגנב."
CISO טוב יודע שהמדד להצלחה אינו כמה דקות הוא קיבל בישיבת דירקטוריון – אלא האם אחרי הישיבה יש תקציב, תמיכה, וסדר עדיפויות ברור. זה דורש שפה עסקית, לא שפה טכנית.
דירקטוריוןGRCדיווח סייברCISOממשל תאגידי