Kun kyberturvallisuus on noussut yhä tärkeämmäksi tekijäksi yritysten päätöksenteossa, on tapahtunut vastaava muutos tietoturvajohtajan (CISO) roolin nostamiseksi johtohierarkiassa korkeammalle tasolle. Päättely näyttää olevan: "Jos kyber on tärkeää, CISO:n on oltava tärkeä." Roolin korottaminen tekee CISOsta kuitenkin yksinäisen äänen autiomaassa, joka huutaa "turvallisuutta", jolla on vain vähän yhteyttä päivittäisiin IT-, suunnittelu- tai tuotepäättäjiin.
Tämä on johtanut joihinkin ei-toivottuihin seurauksiin, kuten Facebookin johtaja, joka piti yrityksen turvatoimien olevan kunnossa. aiheutti tuntikausia viivästyksiä vastauksena sen 4. lokakuuta 2021 keskeytykseen tai Uberin johtajalle, joka maksoi hakkereille joka rikkoi hänen järjestelmäänsä, sen sijaan että tunnustaisi rikkomuksen, tai lukuisat CISO:t, jotka ovat investoineet "lisätietoturvakerroksiin" sen sijaan, että myöntäisivät tehneensä huonoja valintoja alun perin. Kaikissa näissä tapauksissa CISO:n eristäytyminen toimivista liiketoimintayksiköistä epäilemättä vaikutti näiden päätösten heijastamaan tunneliajatteluun.
Organisaatiovaikutus
Ehkä on aika kuvitella CISO:n rooli uudelleen. Ehkä on parempi nähdä CISO:n merkitys heijastuvan organisaation vaikutuksessa kuin organisaation asemassa. Ehkä turvallisuuden upottaminen toiminnallisiin yksiköihin parantaa turvallisuutta.
Kuvittele CISO osana IT-organisaation ekosysteemiä. He osallistuisivat kaikkiin infrastruktuuria koskeviin päätöksiin, ja turvallisuusnäkökohdat olisivat olennainen osa noita päätöksiä sen sijaan, että niitä käsiteltäisiin jälkikäteen. Tämä mahdollistaisi joukon "turvallisuusratkaisuja", jotka perustuvat verkon rakenteeseen ja hallintaan sen sijaan, että ulkopuolinen ryhmä olisi lisännyt infrastruktuuriin erityisiä suojausominaisuuksia.
Kuvittele tietoturva-asiantuntija, joka on upotettu ohjelmistokehitysorganisaatioon. He voisivat tarkentaa kehitysprosessia varmistaakseen, että koodi kirjoitetaan ja testataan turvallisuutta silmällä pitäen ilman, että kehittäjät rasittaisivat heille vieraita prosesseja, mikä vähentäisi yrityksen koodin haavoittuvuuksia. Kuvittele tietoturva-asiantuntija, joka on upotettu tuotelinjoihin. He voisivat varmistaa, että yrityksen infrastruktuuri suojaa heidän IP-oikeuksiaan ja että heidän kehitysprosessinsa vähentää heidän tuotteensa haavoittuvuuksia.
Kaikissa näissä tapauksissa turvallisuudesta tulee osa yrityksen toiminnan todellisuuteen perustuvia päätöksiä. CISO:n teknisestä asiantuntemuksesta tulee pikemminkin olennainen osa jokapäiväistä työtä kuin sille asetettu rajoitus. Samoin turvallisuuden ja vaatimustenmukaisuuden on toimittava saumattomasti, jotta talousjärjestelmät ja viestintä kumppaneiden ja toimittajien kanssa pysyvät turvassa. Tämä koskee tietoliikennejärjestelmiä ja muita laitteita.
Riskitekijä
Tämä vaikuttaa tehokkaammalta tapaa tehdä tietoturvan teknisestä ulottuvuudesta voimakas ääni yrityksen toteuttamisessa. Voidaan kuitenkin ihmetellä, vähentääkö tämä politiikan ulottuvuutta ja balkanisoi sen vastaamaan yksittäisten toiminnallisten yksiköiden erityisiä etuja. Tämä huolenaihe voidaan ratkaista laajentamalla riskipäällikön roolia CISO:n tällä hetkellä hoitamiin turvallisuuspoliittisiin tehtäviin.
Tämän etuna on, että turvallisuuspolitiikka pysyy C-tasolla, missä se saa tarvitsemaansa huomiota. Sen lisäetu on, että kyberturvallisuusriskiä tarkastellaan muiden riskien yhteydessä (saatavuusriski, maineriski, edellä mainittujen tapausten käsittelemiseksi). Turvallisuus ei olisi enää päämäärä sinänsä, vaan liiketoiminnan ulottuvuus. Tämä ei tarkoita, että turvallisuuden täytyy taistella muiden huolenaiheiden kanssa ja tehdä järjestelyjä, jotka vaarantavat organisaation turvallisuusasennon. Pikemminkin se luo ympäristön, joka vaihtaa joko/tai mentaliteetin sellaiseen, joka pyrkii täyttämään kaikki vaatimukset.
On olemassa lukuisia kulunvalvontatekniikoita, jotka olisivat suojaaneet Facebookia tehokkaasti ilman, että sen omaa henkilöstöä olisi lukittu. Kun tietoturvariskiä tarkastellaan käytettävyysriskin kanssa, nousevat esiin ne pragmaattisemmat ratkaisut.
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
