نظر
شرکت ها اهمیت امنیت سایبری را درک کرده و به طور فزاینده ای آن را به عنوان یک دارایی در استراتژی های عملیاتی خود گنجانده اند. اما با اختلاط امنیت و عملیات، سازمانها ممکن است مأموریت اصلی افسر ارشد امنیت اطلاعات (CISO) را کاهش دهند: محافظت از داراییهای شرکت در برابر حملات ناخواسته.
به دهه 1990، نقش CISO بیشتر فنی و متمرکز بر فناوری اطلاعات بود. امنیت سیاه و سفید بود و ادارات در تلاش بودند تا هر چیزی را که خطر تلقی می شد از بین ببرند. با این حال، طی 20 سال گذشته، این شغل تغییر کرده است. CISOها با خطرات بیشتری از آنچه قابل حل هستند مواجه هستند، انتظار می رود بین امنیت و قابلیت عملیاتی تعادل برقرار کنند و باید رهبران را متقاعد کنند که در حفاظت سرمایه گذاری کنند.
امروزه، انتظار می رود که CISO ها نیازهای تجاری را به تعویق بیاندازند، در حالی که هنوز در قبال تخلفات پاسخگو هستند. در رویدادهای شبکه، من بیشتر و بیشتر CISOهایی را می بینم که دارای پیشینه تجاری هستند که کمتر بر جنبه های سایبری کار و بیشتر بر حمایت از اولویت های تجاری تمرکز می کنند.
این سوئیچ می تواند شرکت ها را در موقعیتی نامطمئن قرار دهد. آرامش بخش امنیت سایبری به خاطر سرعت، نه تنها امنیت داده های شرکت را تهدید می کند، بلکه خطرات غیرضروری نیز ایجاد می کند. و بی اهمیت نیست. مطابق با «گزارش هزینه نقض داده ها در سال 2023» IBM، میانگین هزینه نقض داده ها در سال 2023، 4.45 میلیون دلار بود که افزایش 15 درصدی در طول سه سال را نشان می دهد.
در سال 2024، ما باید بار دیگر در نقش CISO تجدید نظر کنیم. CISO امروزی باید به سازمان خود کمک کند تا درک کند که اولویت بندی کاهش ریسک کلید انعطاف پذیری کسب و کار در برابر تهدیدات مدرن است.
CISO امروز: سیاستمدار انعطاف پذیر
CISO ها زمانی توانستند اهمیت خود را بر اساس این ایده بفروشند که از نظر سایبری، آسمان در حال سقوط است. اما با ادغام جنبه های تجاری و امنیتی شرکت ها، مسئولیت پذیری شرکت ها مطرح شد. تمرکز CISO از اجتناب از ریسک به وضعیت ریسک و در نظر گرفتن اینکه چه سطحی در تعقیب اهداف تجاری قابل قبول است تغییر کرد.
در بسیاری از موارد، واحدهای تجاری که درآمد ایجاد می کنند، اکنون در مورد اینکه چه سطحی از ریسک قابل قبول است، از جمله ریسک سایبری، حرف آخر را می زنند. در همین حال، رهبران کسب و کار، که در امنیت سایبری بیشتر آشنا شده اند، دیگر نمی خواهند بشنوند که آسمان در حال سقوط است. در عوض، آنها میخواهند تمرکز CISO روی رشد و سودآوری و در عین حال محافظت از شرکت در برابر حملات سایبری باقی بماند. با گسترش باج افزارها، CISO ها نه تنها باید از خطرات امنیتی پیشگیری، شناسایی و اصلاح کنند، بلکه اکنون باید در نظر بگیرند که سیستم ها تا چه حد در برابر حملات سایبری که می توانند شرکت را از کار بیاندازند، انعطاف پذیر هستند. CISO ها همچنین باید بر سرعت بهبودی شرکت از یک رویداد سایبری تمرکز کنند.
خبر خوب برای CISO ها این است که بسیاری از این نقش ها به یک موقعیت واقعی در سطح C ارتقا یافته اند. خبر بد این است که نقش آنها در درجه اول یک نقش مشاوره ای است، ثانویه نسبت به آنچه که رهبران آن را ریسک قابل قبول می دانند. با توجه به فشار روزافزون کمیسیون بورس و اوراق بهادار (SEC) و وزارت دادگستری در خصوص پاسخگویی CISO در پی یک حمله سایبری، این موقعیت به سرعت غیرقابل دفاع می شود.
مرحله بعدی برای CISO
برای موفقیت امروز، CISO ها نیاز به توسعه مهارت های جدید و در عین حال حفظ اصول قوی دارند. در اینجا نحوه انجام این کار آمده است.
-
یاد بگیرید که چگونه با هیئت مدیره صحبت کنید. CISO ها باید مذاکره کننده باشند. آنها باید به نفع امنیت قوی تر بحث کنند و هیئت مدیره و واحدهای تجاری را در مورد خطرات از نظر آنها متقاعد کنند. نحوه انجام CISO می تواند متفاوت باشد، بسته به اینکه آیا تجربه اعضای هیئت مدیره در زمینه فناوری یا تجارت است. ارائه نمایشی که ریسک فنی را در چشم انداز تجاری قرار می دهد می تواند مفید باشد. CISOها همچنین باید با سایر مدیران سطح C - و همچنین CISOها از صنایع دیگر - صحبت کنند تا به خرید قبلی و دیدگاههای متفاوت در مورد مکالمات مشابهی که با هیئت مدیره خود دارند، دست یابند.
-
با خاکستری راحت باشید. CISO ها باید در ایجاد یک رویکرد مبتنی بر ریسک با تمرکز بر اهمیت انعطاف پذیری راحت باشند، زیرا مهاجمان ایجاد یک برنامه آزمایش شده برای پاسخ به حملات به اندازه اجرای اقدامات پیشگیرانه مهم است. و همیشه به یاد داشته باشید، شما نمی توانید امنیت مطلق را فراهم کنید ... این تعادل بین ریسک و هزینه است.
-
بر اصول اساسی تأکید کنید. CISO ها باید یک تیم عمیقا فنی بسازند که بتواند روی شیوه های امنیتی کلیدی تمرکز کند. آنها باید تمرینات رومیزی را روی سناریوهایی مانند خاموش شدن سیستم یا ناتوانی در اتصال به اینترنت اجرا کنند. CISO ها نباید بر فرضیاتی در مورد نحوه پاسخگویی تکیه کنند. اجرای و آزمایش همه طرح های پاسخ حیاتی است.
-
در مورد تکنولوژی فکر کنید امروزه تیمهای امنیتی اطلاعات بسیار زیادی در اختیار دارند. ادغام داده ها و سرمایه گذاری در اتوماسیون ضروری است. در نقش قبلی، متوجه شدم که تیم من یک سوم وقت خود را صرف جمع آوری داده ها و ایجاد گزارش می کند. این استفاده خوبی از وقت کسی نیست. اتوماسیون می تواند کمک کند. این همچنین باعث می شود که حرفه تیم شما غنی شود و بتواند روی امنیت و نه عملکردهای اداری تمرکز کند.
-
همه چیز را مستند کنید. هنگامی که یک حادثه مخرب اتفاق می افتد، تقصیر اغلب به پای CISO گذاشته می شود. در سال های اخیر، CISO در شرکت های بزرگ رها شده اند، برای شهادت در دادگاه فراخوانده شده اند، و در برخی موارد، متهم با جنایت. CISO ها باید یک طرح پاسخ به حملات سایبری تهیه کنند، هر مرحله را مستندسازی کنند و آن را با جدیت دنبال کنند. انجام این کار ممکن است کار CISO را نجات ندهد، اما می تواند آنها را از دادگاه دور نگه دارد.
یک CISO جدید برای یک چشم انداز تهدید جدید
La چشم انداز فناوری اطلاعات سازمانی به طور قابل توجهی تغییر کرده است در طول 40 سال گذشته، به طور فزاینده ای پراکنده، مبتنی بر ابر و مرکزی برای انجام تجارت شده است. چشمانداز تهدیدات سایبری نیز همینطور است، بهطوریکه امروزه نقضها بهطور گسترده اجتنابناپذیر تلقی میشوند. با این همه تغییر، غیر واقعی است که CISO امروز باید به همان شیوه دهه های گذشته عمل کند. در این محیط جدید، CISO ها باید نحوه تعادل تاب آوری سایبری را دوباره تعریف کنند و خواسته های عملیاتی، تعامل با رهبران ارشد و هیئت مدیره، و ارائه رهبری تیم و فنی.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/cybersecurity-operations/new-ciso-rethinking-the-role
- : دارد
- :است
- :نه
- 10
- 11
- 12
- ٪۱۰۰
- 20
- سال 20
- 2023
- 2024
- 40
- 7
- 8
- a
- قادر
- درباره ما
- مطلق
- قابل قبول
- انجام
- مطابق
- مسئوليت
- پاسخگو
- اداری
- پیشرفت
- مشاوره
- از نو
- معرفی
- همچنین
- همیشه
- an
- و
- هر کس
- هر چیزی
- روش
- هستند
- استدلال
- AS
- جنبه
- دارایی
- دارایی
- مفروضات
- At
- حمله
- اتوماسیون
- میانگین
- به عقب
- پس زمینه
- بد
- برج میزان
- موازنه
- مستقر
- BE
- زیرا
- شدن
- تبدیل شدن به
- بوده
- بودن
- سیاه پوست
- تخته
- شکاف
- نقض
- ساختن
- کسب و کار
- رهبران مشاغل
- اما
- by
- نام
- آمد
- CAN
- نمی توان
- قابلیت
- مشاغل
- موارد
- مرکزی
- تغییر دادن
- تغییر
- رئیس
- افسر ارشد امنیت اطلاعات
- دایره
- CISO
- راحت
- کمیسیون
- شرکت
- شرکت
- انجام
- اتصال
- در نظر بگیرید
- توجه
- در نظر گرفته
- با توجه به
- محکم کردن
- گفتگو
- متقاعد کردن
- هسته
- شرکت
- هزینه
- میتوانست
- دادگاه
- ایجاد
- ایجاد
- سایبر
- حمله سایبری
- حملات سایبری
- امنیت سایبری
- آسیب رساندن
- داده ها
- نقض داده ها
- دهه
- تلقی می شود
- عمیقا
- ارائه
- خواسته
- تظاهرات
- بخش
- وزارت دادگستری
- گروه ها
- بستگی دارد
- تشخیص
- توسعه
- در حال توسعه
- مختلف
- سخت کوشی
- کشف
- پراکنده
- سند
- عمل
- مرتفع
- از بین بردن
- غنی سازی
- سرمایه گذاری
- محیط
- ضروری است
- واقعه
- حوادث
- هر
- همه چیز
- تبادل
- مدیران
- انتظار می رود
- تجربه
- چهره
- سقوط
- توجه
- پا
- نهایی
- تمرکز
- تمرکز
- به دنبال
- برای
- سابق
- از جانب
- توابع
- اصول
- جمع آوری
- تولید می کنند
- واقعی
- دریافت کنید
- Go
- اهداف
- می رود
- خوب
- خاکستری
- رشد
- اتفاق می افتد
- آیا
- داشتن
- شنیدن
- کمک
- مفید
- چگونه
- چگونه
- اما
- HTTPS
- i
- آی بی ام
- ICON
- اندیشه
- اجرای
- اهمیت
- مهم
- in
- عجز
- حادثه
- از جمله
- ترکیب کردن
- افزایش
- افزایش
- به طور فزاینده
- لوازم
- اجتناب ناپذیر
- اطلاعات
- امنیت اطلاعات
- ناچیز
- در عوض
- تعامل
- اینترنت
- به
- سرمایه گذاری
- IT
- ITS
- کار
- JPG
- تنها
- عدالت
- نگاه داشتن
- کلید
- گذاشته
- چشم انداز
- رهبران
- رهبری
- ترک کردن
- کمتر
- اجازه
- سطح
- دیگر
- حفظ
- عمده
- بسیاری
- ممکن است..
- در ضمن
- معیارهای
- اعضا
- قدرت
- میلیون
- ماموریت
- خلط
- مدرن
- بیش
- بسیار
- باید
- my
- نیاز
- نیازهای
- شبکه
- جدید
- اخبار
- بعد
- نه
- اکنون
- of
- افسر
- غالبا
- on
- یک بار
- ONE
- یک سوم
- فقط
- کار
- قابل استفاده
- عملیات
- or
- کدام سازمان ها
- سازمان های
- دیگر
- خارج
- روی
- گذشته
- چشم انداز
- دیدگاه
- برنامه
- برنامه
- افلاطون
- هوش داده افلاطون
- PlatoData
- بازی
- سیاستمدار
- موقعیت
- شیوه های
- فشار
- جلوگیری از
- در درجه اول
- اولویت بندی
- سودبخشی
- محافظت از
- حفاظت
- حفاظت
- ارائه
- ارائه
- دستیابی
- قرار دادن
- قرار می دهد
- به سرعت
- باجافزار
- RE
- اخیر
- شناختن
- بهبود یافتن
- تعریف مجدد
- کاهش
- تکیه
- به یاد داشته باشید
- گزارش
- گزارش 2023
- گزارش ها
- حالت ارتجاعی
- انعطاف پذیر
- مصمم
- پاسخ
- پاسخ
- درامد
- خطر
- خطرات
- نقش
- نقش
- دویدن
- در حال اجرا
- s
- دلیل
- همان
- ذخیره
- گفتن
- سناریوها
- SEC
- ثانوی
- اوراق بهادار
- بورس و اوراق بهادار کمیسیون
- تیم امنیت لاتاری
- خطرات امنیتی
- دیدن
- مشاهده
- فروش
- ارشد
- تغییر کرد
- باید
- تعطیل
- طرف
- مشابه
- مهارت ها
- آسمان
- So
- برخی از
- سرعت
- هزینه
- صحنه
- ماندن
- گام
- هنوز
- استراتژی ها
- قوی
- پایه های قوی
- قوی
- موفق
- چنین
- حمایت از
- گزینه
- سیستم
- سیستم های
- صحبت
- تیم
- تیم ها
- فن آوری
- فنی
- پیشرفته
- قوانین و مقررات
- آزمایش
- تست
- نسبت به
- که
- La
- شان
- آنها
- اینها
- آنها
- این
- تهدید
- تهدید می کند
- تهدید
- سه
- از طریق
- زمان
- به
- امروز
- هم
- فهمیدن
- واحد
- غیر ضروری
- ناخواسته
- استفاده کنید
- متفاوت
- حیاتی
- واد
- بیداری
- می خواهم
- بود
- مسیر..
- we
- خوب
- بود
- چی
- چه زمانی
- چه
- در حین
- سفید
- WHO
- به طور گسترده ای
- اراده
- با
- سال
- هنوز
- شما
- شما
- زفیرنت