Καθώς η κυβερνοασφάλεια έχει γίνει μια ολοένα και πιο σημαντική παράμετρος στη λήψη εταιρικών αποφάσεων, έχει γίνει μια αντίστοιχη κίνηση για να ανυψωθεί ο ρόλος του επικεφαλής της ασφάλειας πληροφοριών (CISO) σε υψηλότερο σημείο στην εκτελεστική ιεραρχία. Το σκεπτικό φαίνεται να είναι: «Εάν ο κυβερνοχώρος είναι σημαντικός, οι CISO πρέπει να είναι σημαντικοί». Ωστόσο, η ανύψωση του ρόλου καθιστά το CISO ως μια μοναχική φωνή στην έρημο που φωνάζει «ασφάλεια», με ελάχιστη σχέση με τους καθημερινούς υπεύθυνους λήψης αποφάσεων στον τομέα της πληροφορικής, της μηχανικής ή των προϊόντων.
Αυτό οδήγησε σε ορισμένες ανεπιθύμητες συνέπειες, όπως το στέλεχος του Facebook που θεώρησε ότι ήταν εντάξει τα μέτρα ασφαλείας της εταιρείας προκάλεσε πολύωρες καθυστερήσεις ως απάντηση στη διακοπή λειτουργίας της 4ης Οκτωβρίου 2021 ή στο στέλεχος της Uber που πλήρωσε τους χάκερ ο οποίος παραβίασε το σύστημά του, αντί να αναγνωρίσει την παραβίαση, ή τους πολυάριθμους CISO που έχουν επενδύσει σε «πρόσθετα επίπεδα ασφάλειας» αντί να παραδεχτούν ότι έκαναν κακές επιλογές αρχικά. Σε όλες αυτές τις περιπτώσεις, η απομόνωση του CISO από λειτουργικές επιχειρηματικές μονάδες έπαιξε αναμφίβολα ρόλο στο τούνελ, πιστεύοντας ότι αυτές οι αποφάσεις αντικατοπτρίζονται.
Οργανωτικός αντίκτυπος
Ίσως είναι καιρός να ξανασκεφτούμε τον ρόλο του CISO. Ίσως είναι καλύτερο να δούμε τη σημασία του CISO να αντικατοπτρίζεται στον οργανωτικό αντίκτυπο παρά στην οργανωτική κατάσταση. Ίσως η ενσωμάτωση της ασφάλειας σε λειτουργικές μονάδες θα έχει ως αποτέλεσμα καλύτερη ασφάλεια.
Φανταστείτε το CISO ως μέρος του οικοσυστήματος του οργανισμού πληροφορικής. Θα συμμετείχαν σε κάθε απόφαση σχετικά με την υποδομή και οι ανησυχίες για την ασφάλεια θα ήταν αναπόσπαστο μέρος αυτών των αποφάσεων αντί να αντιμετωπίζονται εκ των υστέρων. Αυτό θα επέτρεπε ένα σύνολο λύσεων «ασφάλειας» που θα βασίζονται στον τρόπο δομής και διαχείρισης του δικτύου, παρά σε ειδικές δυνατότητες ασφαλείας που εισάγονται στην υποδομή από μια εξωτερική ομάδα.
Φανταστείτε έναν ειδικό σε θέματα ασφάλειας ενσωματωμένο στον οργανισμό ανάπτυξης λογισμικού. Θα είναι σε θέση να βελτιώσουν τη διαδικασία ανάπτυξης για να βεβαιωθούν ότι ο κώδικας είναι γραμμένος και δοκιμασμένος με γνώμονα την ασφάλεια, χωρίς να επιβαρύνουν τους προγραμματιστές με διαδικασίες που τους είναι ξένες, μειώνοντας έτσι τα τρωτά σημεία στον κώδικα της εταιρείας. Φανταστείτε έναν ειδικό σε θέματα ασφάλειας ενσωματωμένο σε σειρές προϊόντων. Θα είναι σε θέση να διασφαλίσουν ότι η εταιρική υποδομή προστατεύει την IP τους και ότι η διαδικασία ανάπτυξής τους μειώνει τα τρωτά σημεία στο προϊόν τους.
Σε όλες αυτές τις περιπτώσεις, η ασφάλεια γίνεται παράγοντας στις εταιρικές αποφάσεις που στηρίζονται στην πραγματικότητα των εταιρικών λειτουργιών. Η τεχνική τεχνογνωσία του CISO γίνεται αναπόσπαστο μέρος της καθημερινής εργασίας παρά ένας περιορισμός που του επιβάλλεται. Ομοίως, η ασφάλεια και η συμμόρφωση πρέπει να λειτουργούν απρόσκοπτα, ώστε τα χρηματοοικονομικά συστήματα και οι επικοινωνίες με τους συνεργάτες και τους προμηθευτές να παραμένουν ασφαλείς. Αυτό επεκτείνεται σε συστήματα τηλεπικοινωνιών και άλλο υλικό.
Ο παράγοντας κινδύνου
Αυτό φαίνεται σαν ένας πιο αποτελεσματικός τρόπος για να γίνει η τεχνική διάσταση της ασφάλειας ισχυρή φωνή στην εκτέλεση της εταιρείας. Ωστόσο, μπορεί κανείς να αναρωτηθεί εάν αυτό θα μειώσει τη διάσταση της πολιτικής, βαλκανίζοντάς την για να αντιμετωπίσει τα ειδικά συμφέροντα των επιμέρους λειτουργικών μονάδων. Αυτή η ανησυχία μπορεί να αντιμετωπιστεί με την επέκταση του ρόλου του επικεφαλής υπεύθυνου κινδύνου ώστε να συμπεριληφθούν οι λειτουργίες πολιτικής ασφάλειας που εκτελούνται επί του παρόντος από το CISO.
Αυτό έχει το πλεονέκτημα της διατήρησης της πολιτικής ασφαλείας σε επίπεδο C, όπου λαμβάνει την προσοχή που χρειάζεται. Έχει το περαιτέρω όφελος να εξετάζεται ο κίνδυνος κυβερνοασφάλειας στο πλαίσιο άλλων κινδύνων (κίνδυνος διαθεσιμότητας, κίνδυνος για τη φήμη, για την αντιμετώπιση των παραπάνω περιπτώσεων). Η ασφάλεια δεν θα ήταν πλέον αυτοσκοπός, αλλά μια διάσταση της επιχειρηματικής δραστηριότητας. Αυτό δεν σημαίνει ότι η ασφάλεια πρέπει να το αντιμετωπίσει με άλλες ανησυχίες και να κάνει προσαρμογές που θέτουν σε κίνδυνο τη στάση ασφαλείας του οργανισμού. Αντίθετα, δημιουργεί ένα περιβάλλον που ανταλλάσσει τη νοοτροπία είτε/ή με ένα που επιδιώκει να ικανοποιήσει όλες τις απαιτήσεις.
Υπάρχουν πολλές τεχνολογίες ελέγχου πρόσβασης που θα είχαν προστατεύσει αποτελεσματικά το Facebook χωρίς να κλειδώσουν το προσωπικό του. Όταν λαμβάνεται υπόψη ο κίνδυνος ασφάλειας μαζί με τον κίνδυνο διαθεσιμότητας, θα προκύψουν αυτές οι πιο ρεαλιστικές λύσεις.
- blockchain
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- κυβερνασφάλεια
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- Σκοτεινή ανάγνωση
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- firewall
- Kaspersky
- malware
- Mcafee
- Nexbloc
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- VPN
- ιστοσελίδα της ασφάλειας
