Kuna küberjulgeolek on muutunud ettevõtete otsuste tegemisel üha olulisemaks kaalutluseks, on toimunud vastav samm, et tõsta infoturbe juhi (CISO) roll täidesaatvas hierarhias kõrgemale tasemele. Põhjendus näib olevat järgmine: "Kui küber on oluline, peavad CISOd olema olulised." Kuid rolli tõstmine muudab CISO kõrbes üksikuks hääleks, kes hüüab "turvalisuse pärast", millel on vähe seost igapäevaste IT-, inseneri- või toodete otsustajatega.
See on toonud kaasa mõningaid soovimatuid tagajärgi, nagu Facebooki juht, kes arvas, et ettevõtte turvameetmed on õiged. põhjustas tundidepikkuseid viivitusi reageerides selle 4. oktoobri 2021 katkestusele või Uberi juhile, kes maksid häkkerid ära kes rikkusid tema süsteemi, selle asemel, et rikkumist tunnistada, või arvukad CISO-d, kes on investeerinud "täiendavatesse turvakihtidesse", selle asemel, et tunnistada, et tegid alguses kehvad valikud. Kõigil neil juhtudel mängis CISO eraldatus funktsionaalsetest äriüksustest kahtlemata rolli tunnelmõtlemises, mida need otsused peegeldavad.
Organisatsiooniline mõju
Võib-olla on aeg CISO roll ümber mõelda. Võib-olla on parem näha CISO tähtsust organisatsioonilises mõjus, mitte organisatsiooni staatuses. Võib-olla tagab turvalisuse lisamine funktsionaalsetesse üksustesse parema turvalisuse.
Kujutage ette CISO-d IT-organisatsiooni ökosüsteemi osana. Nad oleksid kaasatud igasse infrastruktuuri puudutavasse otsusesse ja turvaprobleemid oleksid nende otsuste lahutamatud osad, mitte aga tagantjärele. See võimaldaks turvalahenduste komplekti, mis põhinevad võrgu ülesehitusel ja haldamisel, mitte välise rühma poolt infrastruktuuri sisestatud spetsiaalsetel turvavõimalustel.
Kujutage ette turvaeksperti, kes on integreeritud tarkvaraarenduse organisatsiooni. Nad saaksid arendusprotsessi täpsustada, et tagada koodi kirjutamine ja testimine turvalisust silmas pidades, ilma et nad koormaksid arendajaid neile võõraste protsessidega, vähendades seeläbi ettevõtte koodi haavatavusi. Kujutage ette turvaeksperti, kes on tootesarjadesse integreeritud. Nad saaksid olla kindlad, et ettevõtte infrastruktuur kaitseb nende intellektuaalomandit ja et nende arendusprotsess vähendab nende toote haavatavust.
Kõigil neil juhtudel muutub turvalisus ettevõtte otsuste teguriks, mis põhinevad ettevõtte tegevuse tegelikkusest. CISO tehnilised teadmised muutuvad igapäevase töö lahutamatuks osaks, mitte sellele seatavaks piiranguks. Samuti peavad turvalisus ja vastavus toimima sujuvalt, et finantssüsteemid ning suhtlus partnerite ja müüjatega oleks turvaline. See laieneb telekommunikatsioonisüsteemidele ja muule riistvarale.
Riskitegur
See tundub olevat mõjusam viis muuta turvalisuse tehniline mõõde ettevõtte elluviimisel võimsaks hääleks. Siiski võib küsida, kas see vähendab poliitilist mõõdet, muutes selle üksikute funktsionaalsete üksuste erihuvidele. Seda muret saab lahendada riskijuhtimise peadirektori rolli laiendamisega, et hõlmata praegu CISO turvapoliitika ülesandeid.
Selle eeliseks on turvapoliitika hoidmine C-tasemel, kus see saab vajaliku tähelepanu. Selle täiendavaks eeliseks on see, et küberjulgeolekuriski võetakse arvesse muude riskide kontekstis (risk kättesaadavusele, risk mainele, et käsitleda ülaltoodud juhtumeid). Turvalisus poleks enam eesmärk omaette, vaid äritegevuse mõõde. See ei tähenda, et turvalisus peab võitlema teiste probleemidega ja tegema majutust, mis ohustab organisatsiooni turvalisust. Pigem loob see keskkonna, mis vahetab kas/või mentaliteedi vastu, mis püüab rahuldada kõiki nõudeid.
On palju juurdepääsukontrolli tehnoloogiaid, mis oleksid Facebooki tõhusalt kaitsnud ilma oma töötajaid lukustamata. Kui käsitleda turvariski koos kättesaadavusriskiga, tekivad need pragmaatilisemad lahendused.
