Den nylige domfældelse af Joe Sullivan, Ubers Chief Information Security Officer (CISO), for at undlade at rapportere virksomhedens databrud i 2016 kom som en uvelkommen overraskelse for nogle og som en berettiget konsekvens af Mr. Sullivans handlinger over for andre.
Som kollega CISO og informationssikkerhedsleder i over 30 år respekterer jeg Sullivans fornemme karriere og støtter samtidig fuldt ud dommen. Sullivan befandt sig i et etisk dilemma, som de fleste CISO'er befinder sig i før eller siden. Hvordan en CISO beslutter sig for at håndtere det dilemma kan gøre eller bryde deres karriere.
Hvad er en CISO's ansvar?
CISO's rolle og ansvar udvikler sig konstant og bliver undersøgt endnu mere takket være den voksende omtale omkring store brud, som den, der ses hos Uber.
For CISO'er, der overvejer, hvad disse seneste begivenheder betyder for dem, er det et passende tidspunkt at stille tre vigtige spørgsmål.
1) Hvad er mit ansvar som CISO, når der er et databrud?
Selvom Uber-retssagen kan have bragt CISO's rolle i skarpere fokus, tror jeg ikke, at det ændrer ansvaret eller ansvaret forbundet med rollen. Når der opstår et brud, er CISO's ansvar klart: Vær gennemsigtig og giv alle de nødvendige oplysninger. Nogle gange er disse oplysninger påbudt af regulerende organer, og nogle gange betragtes de blot som en ansvarlig offentliggørelse af virksomheden til dens bestanddele.
Jeg ved ikke, om Sullivans første reaktion var at tage den rigtige handling og rapportere bruddet som krævet ved lov. I betragtning af hans lange karriere håber jeg bestemt, at det var tilfældet. Når det er sagt, afhængigt af rapporteringsstrukturen i virksomheden har mange CISO'er muligvis ikke det sidste ord om, hvorvidt virksomheden vil afsløre bruddet. Som det ofte er tilfældet, kan CISO blive tilsidesat og presset til at finde en måde at omformulere bruddet som noget andet end et brud. Denne reframing kan hjælpe virksomheden med at undgå potentielle negative konsekvenser, herunder reguleringsbøder, afhjælpningsomkostninger (for eksempel levering af kreditovervågningstjenester til berørte kunder) og indvirkning på kundernes tillid og virksomhedens omdømme.
Et brud ses helt korrekt som en fejl fra virksomhedens side i at beskytte de data, der blev brudt. Det kan også i sidste ende ses som en fiasko for CISO. Dette rejser de ældgamle spørgsmål: Hvor stopper bukken? Og hvem har det endelige ansvar for bruddet? Uanset hvad er det ikke en simpel ting for en virksomhed at indrømme eller oplyse.
CISO's etiske dilemma er: Bevarer jeg integriteten af min rolle og følger mit ansvar? Eller forsøger jeg at omformulere hændelsen, så min virksomhed ikke bærer konsekvenserne?
Jeg vil gerne tro, at hvis jeg var i Sullivans sted, ville jeg være villig til at opsige min stilling i stedet for at forråde min rolles integritet og ærligt talt mine vælgeres tillid. For at parafrasere USA's præsident Harry S. Truman, "cybersikkerhedsbukken stopper med CISO."
2) Hvad er min virksomheds plan for, når (ikke hvis) vi bliver brudt?
Som CISO for en sikkerhedsleverandør kender jeg alt for godt motivationen og beslutsomheden hos dårlige aktører og nationalstater. Jeg forstår også de odds, organisationer står over for at blive ofre for et angreb - organisationer må antage, at de vil blive overtrådt. Hvad vil du gøre, når det sker?
At håndtere worst-case scenarier og have en beredskabsplan på plads, før du bliver overtrådt, kan minimere det økonomiske og operationelle nedfald, når du gør det. Hvad er omkostningerne ved nedetid, hvis en hacker tager din kundesupport eller forsyningskædedrift offline? Hvor er dine systemer mest sårbare? Hvordan begrænser man skaden, og hvor hurtigt kan man komme sig? Hvordan kommunikerer du, hvad der skete, til dine medarbejdere, kunder og bestyrelse?
Den administrerende direktør og andre virksomhedsledere skal proaktivt arbejde sammen med CISO for at løse disse spørgsmål og udvikle en omfattende plan, der er klar, når der opstår et brud. Øjeblikkelig handling - og ærlighed - tæller over alt andet. Men sådan en plan vil kun lykkes, hvis den er blevet lavet, undersøgt og øvet i god tid.
3) Hvad er min rolle i bestyrelsen?
For det meste modstandsdygtige virksomheder forpligter sig til sikkerhed i top og køre det ned gennem alle niveauer i organisationen. Det betyder at etablere en stærk cybersikkerhedskultur med såvel bestyrelsen som medarbejderne. Mange CISO'er kan blive nødt til at kæmpe med fordomme fra bestyrelser, der siger, "det vil aldrig ske for os" eller "det kommer til at ske alligevel, så hvorfor investere i cybersikkerhed."
Administrer CISO-forholdet som et forretningsforhold
En måde for CISO'er at forbedre deres forhold til bestyrelsen er at fungere som broen mellem teknologi og forretning. Vi er nødt til at vise bestyrelsen, at vi administrerer cybersikkerhed som en forretningsrisiko og tilpasser os virksomhedens ydeevne, vækst og andre forretningsmål. Sørg for at bruge forretningsudtryk og -resultater, ikke kun tekniske akronymer og begreber. Hjælp med at besvare spørgsmålet "Hvorfor skal jeg bekymre mig om dette?" Og hvis det lykkes dig at få tildelt ressourcer af bestyrelsen, er det vigtigt at følge op med en rapport, der forbinder de ressourcer, du efterspurgte, med de forretningsmæssige resultater og resultater, der fulgte.
Efter min egen erfaring, for at være mest effektiv, er det vigtigt for CISO at pleje et forhold til deres bestyrelsesmedlemmer uden for regelmæssige planlagte møder. Dette giver os mulighed for bedre at forstå, hvad vores bestyrelsesmedlemmer forventer af CISO, og ligeledes at begynde at uddanne bestyrelsen. I sidste ende handler cybersikkerhedspraksis om styring af risiko, men sandheden er, at vi aldrig kan eliminere risiko fuldstændigt. Daglige overskrifter har sat alle CISO i den varme stol. CISO har et skræmmende job: de skal styre deres organisations daglige forsvar, samtidig med at de skal lave en handlingsplan for det uundgåelige fremtidige angreb. Det kræver integritet og ærlighed for en CISO at lede og trives i dag i denne udfordrende og kritiske rolle.
