CISO:n rooli on muuttumassa. Pystyvätkö CISOt itse perässä?

CISO:n rooli on muuttumassa. Pystyvätkö CISOt itse perässä?

Aikaleima: 11. maaliskuuta 2024 5

Tietoturvajohtajan (CISO) rooli on laajentunut viimeisen vuosikymmenen aikana nopean digitaalisen muutoksen ansiosta. Nyt CISO:n on oltava paljon liiketoimintasuuntautuneempi, käytettävä paljon enemmän hattuja ja kommunikoitava tehokkaasti hallituksen jäsenten, työntekijöiden ja asiakkaiden kanssa, tai muuten on vaarassa vakavia tietoturvahäiriöitä.

Las Vegasissa CPX 2024 -tapahtumassa pidetyssä laajassa lehdistössä Q&A CISO:sta ja kansainvälisten järjestöjen varapuheenjohtajista koostuva paneeli keskusteli siitä, kuinka digitaalinen muutos, tulospaineet ja tietoturvatietoisuuden puute ovat saaneet muutoksen heidän asemaansa – laajasti teknisistä liiketoiminnallisiin ja erittäin sosiaalisiin.

Nykyään he ehdottivat, että ero tehokkaan CISO:n – ja näin ollen tehokkaan turvallisuuskulttuurin välillä organisaatiossa – on yhtä paljon pehmeämmistä kommunikaatiotaidoista kuin haavoittuvuuksien lieventämisestä ja toimintatapojen määrittelystä. Itse asiassa turvallisuusjohtajat, jotka viihtyvät jälkimmäisen kanssa, mutta joilla entinen puuttuu, päätyvät altistamaan organisaationsa suurille tietomurroille.

"Kysitkö seurauksista?" Dan Creed, Allegiant Travel Companyn CISO, kysyi retorisesti vastauksena Dark Readingin kysymykseen. "Kysy SolarWindsiltä, ​​mitä seurauksia on. Heillä oli salasanakäytäntö, harjoittelija ei noudattanut salasanakäytäntöä, katsokaa seurauksia."

Kuinka digitaalinen muutos muutti CISO:n

"CISO:n rooli on muuttunut viimeisen 10 vuoden aikana, emmekä koskaan pysähtyneet huomaamaan sitä", Frank Dickson, IDC:n kyberturvallisuustuotteista vastaava varajohtaja, totesi erillisessä CPX:n lehdistötilaisuudessa 6. maaliskuuta.

Vuosia sitten asema luotiin suhteellisen kapealla kyberriskipainopisteellä, johon se liittyy edelleen. Mutta se on laajentunut, kiitos ensinnäkin yritysten hyökkäyspinnan laajentamisen. Tyypilliset rikkomukset vaativat aiemmin haavoittuvuuksia yritysten resursseissa – ajattele Target, Ashley Madison ja vastaavat. Nykyään, varsinkin COVIDin jälkeen, se on työntekijöiden sähköpostit, puhelimet ja muut laitteet jotka sen sijaan muodostavat suurimman riskin organisaatioille. Tietoturvavastuun tullessa kollektiiviseksi CISO:t on pakotettu ulos siiloistaan.

Frank Dickson tiedottaa lehdistölle IDC:n uudesta raportista

Frank Dickson tiedottaa lehdistölle IDC:n uudesta raportista; Lähde: CPX

Digitaalinen transformaatio on myös siirtänyt IT:n siledustuotannostaan ​​suoraan toimialaan. Kuten Dickson huomautti, "Noin 40 prosenttia [Global] 2000:n ensi vuoden tuloista tulee digitaalisista tuotteista ja palveluista. Joten se muuttaa IT:n luonteen kustannusten asettajasta joksikin, joka on tiellä tuottamaan tuloja. Ja jos ajattelee, mitä se tekee, se muuttaa perusteellisesti CISO:n roolia." Mitä enemmän yritykset pitävät IT:tä nykyään liiketoiminnan liikkeellepanevana tekijänä, sitä enemmän CISO:ita on integroitava kyberriskien ehkäisemisen ja lieventämisen lisäksi myös hallituksen neuvontaan liiketoimintapäätöksissä ja tapaamisissa kehittäjien, myyjien ja asiakkaiden kanssa.

CISO:n yhä enemmän liiketoimintaan kohdistuvat vastuut heijastuivat CPX:ssä paljastuneessa IDC:n tutkimuksessa. 847 kyselyyn vastanneesta kyberturvallisuusjohtajasta 10 % uskoo, että CISO:n tärkein tehtävä on johtamistaidot ja tiiminrakennustaidot, ja 8 % uskoo, että se on liiketoiminnan johtamistaitoja. Todellinen kyberturvallisuustietoisuus ja -ymmärrys sekä IT-arkkitehtuuri ja insinööritaidot saivat tuskin enemmän ääniä, 12 prosenttia kappaleelta.

Kuinka CISO:t voivat tehdä paremmin työntekijöiden toimesta

Kyse ei ole vain CISO:sta shouldnt kaksinkertaistua liikemiehinä – heidän täytyy. "Seurauksena, jos et luo näitä suhteita, saat kulttuurin seurassa "No, se ei ole minun vastuullani." Kuten SolarWinds ja MGM. He nollasivat MFA:nsa vain soittamalla Help Deskiin, vaikka he eivät ymmärrä tai ymmärrä turvallisuustietoisuuden puutteen seurauksia", Creed selitti.

Creedin argumentin hienovaraisuus – jota muut pyöreän pöydän jäsenet toistavat – on tärkeää. He korostavat, että työntekijöiden tietoturvapoikkeamien estäminen ei ole vain tietoisuuden levittämistä, sillä myös asiantuntevat työntekijät eivät huomioi turvallisuutta, kun heidän suhteensa turvallisuustiimiinsä ei ole terve tai kun hygienia on yksinkertaisesti liian vaivalloista.

"[He sanovat] turvallisuus pitäisi piilottaa. Otan sen askeleen pidemmälle: turvallisuuden pitäisi voidella liiketoimintaa ja tehdä siitä nopeampaa", sanoi Check Pointin Field CISO:n Pete Nicoletti toistaen nykyaikaisen CISO:n kehittyneen filosofian. Hän tarjoaa VPN:itä esimerkkinä siitä, missä rajoitetut, vanhanaikaiset CISO:t ovat perinteisesti hidastaneet liiketoimintaa. "Kuinka kauan sähköpostini säilyy: kaksi sekuntia vai 10 sekuntia? Kuinka kauan VPN: n rekisteröityminen kestää? Aikovatko [työntekijät] kiertää sen, koska se vie 22 sekuntia ja todennus? [Kyse on] yrittää tehdä näistä mahdollisimman läpinäkyviä ja helppokäyttöisiä. Aloita valitsemaan työkaluja, jotka todella nopeuttavat prosessia, missä sinulla on nyt kilpailuetu."

"Jotkut aikaisimmista aloitteistani, joita olen ajamassa, ovat juuri sellaisia", Creed totesi. "Siirrytään pois VPN:stä ja päästään aina päällä olevaan tilaan, jossa kannettavan tietokoneen avulla kytket sen päälle, olet vauhdikas ja olet yhteydessä verkkoomme, palaten tietoturvapinomme kautta. Seuraava tavoite on, että luomme nyt perustan siirtymiselle salasanattomaan.

Jos työntekijöiden kanssa puhuminen ja turvallisuuden helpottaminen ei riitä, CISO:t voivat kokeilla myös vaihtoehtoisia kannustimia. "Meillä on itse asiassa turvallisuuskulttuurin KPI-mittareita. Ja valmistaudumme siihen pisteeseen, että alamme todella vaikuttaa bonuspooliin, jolloin jos osastollasi menee paremmin, se kasvattaa bonuspooliasi yli normin [. . .] ja jos et, niin se osuu bonukseesi”, Creed selitti.

Kuinka CISO:t voivat tehdä parempaa yhteistyötä muiden johtajien kanssa

Sitten on lauta.

IDC kysyi tutkimuksessaan CISO:ilta ja heidän kollegansa tietohallintojohtajilta, mitä CISO:t todellisuudessa tekevät – esimerkiksi keskittyvätkö ne strategiseen arkkitehtuuriin vai onko työ luonteeltaan taktista – ja havaitsi vastauksissa merkittäviä eroja, jotka osoittavat, että jopa CISO:t Lähimmät C-tason kumppanit eivät ole täysin samalla sivulla.

Creed muisteli äskettäin erään tällaisen tapauksen, jossa ”Tilasimme uusia 737:itä. Ja nämä ovat ensimmäiset sähköisesti kytketyt lentokoneemme. [Hallitus] ei ottanut minua mukaan aikaisempiin keskusteluihin, ja sitten tuli paloharjoitus, että kaikilla uusilla sähköisesti yhdistetyillä lentokoneilla on kyberturvallisuusvaatimukset – itse asiassa, jos sinulla ei ole verkkoturvasuunnitelmaa, joka on hyväksytty ja hyväksytty. FAA:n tiedoissa, menetät kyseisten lentokoneiden lentokelpoisuustodistuksesi. Luuletko, että johtokunta, kun he ensimmäisen kerran alkoivat puhua tälle polulle "laajennamme laivastoa", ajatteli, että sillä saattaa olla turvallisuusvaikutuksia?"

"Joten sinun täytyy kouluttaa heitä ja selittää heille: siksi tarvitsemme paikan pöydän ääressä. Jokaiseen yrityksen hyväksi tehtyyn strategiseen päätökseen liittyy riski. [. . .] Mitä enemmän sinä ota meidät tuohon pöytään, sitä paremmin voimme suojella yritystä ja punnita, missä riski on alkamassa sen sijaan, että se syttyy tulipaloon", hän sanoi.

Tätä varten Denver Broncosin tietotekniikan varatoimitusjohtaja Russ Trainor tarjosi Dark Readingin haastattelussa yksinkertaisen vinkin:

"Joskus välitän uutiset tietomurroista talousjohtajalleni: tässä on, kuinka paljon tietoa haettiin, tässä on kuinka paljon se mielestämme maksoi", hän sanoo. "Näillä asioilla on tapana iskeä kotiin."

Aikaleima:

Lisää aiheesta Pimeää luettavaa