Hiljutine Uberi infoturbe juhi (CISO) Joe Sullivani süüdimõistmine ettevõtte 2016. aasta andmerikkumisest teatamata jätmises tuli mõnele soovimatu üllatusena ja teistele härra Sullivani tegevuse õigustatud tagajärjena.
CISO kolleegina ja infoturbe juhina üle 30 aasta austan Sullivani silmapaistvat karjääri ja toetan samal ajal täielikult kohtuotsus. Sullivan leidis end eetilisest dilemmast, millesse enamik CISOsid varem või hiljem satuvad. See, kuidas CISO otsustab selle dilemmaga hakkama saada, võib nende karjääri muuta või katkestada.
Millised on CISO kohustused?
CISO roll ja kohustused arenevad pidevalt ning neid kontrollitakse veelgi rohkem tänu kasvavale avalikustamisele suurte rikkumiste kohta, nagu näiteks Uberis.
CISOde jaoks, arvestades, mida need hiljutised sündmused nende jaoks tähendavad, on sobiv aeg esitada kolm olulist küsimust.
1) Milline on minu vastutus CISO-na andmetega seotud rikkumise korral?
Kuigi Uberi prooviversioon võis tuua CISO rolli teravamalt fookusesse, ei usu see, et see muudab rolliga seotud vastutust ega vastutust. Rikkumise korral on CISO vastutus selge: olge läbipaistev ja esitage kogu vajalik teave. Mõnikord on sellised avalikustamised volitanud reguleerivad organid ja mõnikord peetakse seda lihtsalt vastutustundlikuks avalikustamiseks, mille ettevõte avaldab oma liikmetele.
Ma ei tea, kas Sullivani esimene reaktsioon oli õige tegutsemine ja seadusega nõutud rikkumisest teatamine. Arvestades tema pikka karjääri, loodan kindlasti, et see nii oli. See tähendab, et olenevalt ettevõtte aruandlusstruktuurist ei pruugi paljudel CISO-del olla lõplikku sõna selle kohta, kas ettevõte avalikustab rikkumise. Nagu sageli juhtub, võidakse CISO-d tühistada ja seda survestada leidma viis, kuidas rikkumine ümber sõnastada millekski muuks kui rikkumiseks. See ümberkujundamine võib aidata ettevõttel vältida võimalikke negatiivseid tagajärgi, sealhulgas regulatiivseid trahve, heastamiskulusid (nt mõjutatud klientidele krediidi jälgimise teenuste pakkumine) ning mõju klientide usaldusele ja ettevõtte mainele.
Rikkumist käsitletakse täiesti õigesti kui ettevõtte suutmatust kaitsta rikutud andmeid. Seda võib lõpuks pidada ka CISO ebaõnnestumiseks. See tõstatab igivanu küsimusi: kus peatub raha? Ja kes kannab lõplikku vastutust rikkumise eest? Sellest hoolimata ei ole ettevõttel lihtne tunnistada ega avalikustada.
CISO eetiline dilemma on järgmine: kas ma säilitan oma rolli aususe ja järgin oma vastutust? Või proovin juhtunut ümber kujundada nii, et minu ettevõte ei kannaks tagajärgi?
Tahaksin arvata, et kui ma oleksin Sullivani asemel, oleksin pigem nõus oma positsioonist loobuma, mitte reetma oma rolli ausust ja ausalt öeldes oma valijate usaldust. USA presidenti Harry S. Trumani parafraseerides: "Küberjulgeoleku vastutus peatub CISO-ga."
2) Mis on minu ettevõtte plaan, kui (mitte) meid rikutakse?
Turvamüüja CISO-na tean liiga hästi halbade osalejate ja rahvusriikide motivatsiooni ja otsusekindlust. Ma mõistan ka tõenäosust, millega organisatsioonid rünnaku ohvriks langevad – organisatsioonid peavad eeldama, et neid rikutakse. Mida te teete, kui see juhtub?
Halvima stsenaariumiga tegelemine ja situatsiooniplaani koostamine enne rikkumist võib minimeerida rahalisi ja tegevuslikke tagajärgi. Kui palju maksab seisakuid, kui ründaja viib teie klienditoe või tarneahela töö võrguühenduseta? Kus on teie süsteemid kõige haavatavamad? Kuidas saate kahju ohjeldada ja kui kiiresti saate taastuda? Kuidas teavitate juhtunust oma töötajatele, klientidele ja juhatusele?
Tegevjuht ja teised ettevõtte ametnikud peavad CISO-ga ennetavalt koostööd tegema, et neid küsimusi lahendada ja koostada terviklik plaan, mis on valmis rikkumise ilmnemisel. Kohene tegutsemine ja ausus loevad üle kõige. Kuid selline plaan on edukas ainult siis, kui see on aegsasti koostatud, kontrollitud ja läbi harjutatud.
3) Milline on minu roll direktorite nõukogus?
Kõige vastupidavad ettevõtted kohustuvad tagama turvalisuse tipus ja juhivad selle alla organisatsiooni igal tasandil. See tähendab tugeva küberturvalisuse kultuuri loomist nii juhatuse kui ka töötajatega. Paljudel CISO-del võib tekkida vajadus võidelda juhatuste eelarvamustega, mis ütlevad, et "seda ei juhtu meiega kunagi" või "see juhtub niikuinii, miks siis investeerida küberturvalisusesse."
Hallake CISO-suhet nagu ärisuhet
Üks viis, kuidas CISOd oma suhteid juhatusega tugevdavad, on olla sillaks tehnoloogia ja äri vahel. Peame näitama juhatusele, et juhime küberjulgeolekut kui äririski ning järgime organisatsiooni tulemuslikkust, kasvu ja muid ärieesmärke. Kasutage kindlasti äritermineid ja -tulemusi, mitte ainult tehnilisi akronüüme ja mõisteid. Aidake vastata küsimusele "Miks ma peaksin sellest hoolima?" Ja kui juhatus annab teile ressursse, on oluline koostada aruanne, mis ühendab teie taotletud ressursid äritulemuste ja sellele järgnenud tulemustega.
Minu enda kogemuse kohaselt on kõige tõhusama toimimise tagamiseks oluline, et CISO arendaks suhteid oma juhatuse liikmetega väljaspool korrapäraselt kavandatud koosolekuid. See annab meile võimaluse paremini mõista, mida meie juhatuse liikmed CISO-lt ootavad, ning ühtlasi hakata juhatust koolitama. Lõppkokkuvõttes seisneb küberturvalisuse praktika riskide maandamises, kuid tõde on see, et me ei saa kunagi riske täielikult kõrvaldada. Igapäevased rikkumiste pealkirjad on pannud iga CISO tähelepanu alla. CISO-l on hirmuäratav töö: nad peavad juhtima oma organisatsiooni igapäevast kaitset, luues samal ajal tegevuskava selle vältimatu tulevase rünnaku jaoks. CISO jaoks on vaja ausust ja ausust, et täna selles väljakutseid pakkuvas ja kriitilises rollis edukalt juhtida ja areneda.
