Uberin tietoturvajohtajan (CISO) Joe Sullivanin äskettäinen tuomio yhtiön vuoden 2016 tietomurron ilmoittamatta jättämisestä oli joillekin ei-toivottu yllätys ja toisille oikeutettu seuraus Sullivanin toimista.
CISO-kollegana ja tietoturvajohtajana yli 30 vuoden ajan kunnioitan Sullivanin ansiokasta uraa ja samalla tuen täysin tuomiosta. Sullivan joutui eettiseen dilemmaan, johon useimmat CISO:t joutuvat ennemmin tai myöhemmin. Se, miten CISO päättää käsitellä tätä ongelmaa, voi tehdä tai katkaista heidän uransa.
Mitkä ovat CISO:n vastuut?
CISO:n rooli ja vastuut kehittyvät jatkuvasti, ja niitä tarkastellaan vieläkin enemmän, koska suuria rikkomuksia, kuten Uberissa, koskeva julkisuus lisääntyy.
CISO:lle, joka pohtii, mitä nämä viimeaikaiset tapahtumat heille merkitsevät, on sopiva aika esittää kolme tärkeää kysymystä.
1) CISO:na, mikä on minun vastuuni tietomurron sattuessa?
Vaikka Uber-kokeilu on saattanut korottaa CISO:n roolia, en usko, että se muuttaa rooliin liittyvää vastuuta tai vastuuta. Kun rikkomus tapahtuu, CISO:n vastuu on selvä: ole avoin ja anna kaikki tarvittavat tiedot. Joskus nämä tiedot ovat sääntelyelinten valtuuttamia, ja joskus niitä pidetään vain yrityksen vastuullisena tiedonannona sen jäsenille.
En tiedä, oliko Sullivanin ensimmäinen reaktio ryhtyä oikeaan toimintaan ja ilmoittaa rikkomuksesta lain edellyttämällä tavalla. Kun otetaan huomioon hänen pitkä uransa, toivon todellakin, että näin oli. Yrityksen raportointirakenteesta riippuen monilla CISO:lla ei kuitenkaan välttämättä ole lopullista päätöstä siitä, paljastaako yritys rikkomuksen. Kuten usein tapahtuu, CISO voidaan ohittaa ja sitä painostetaan etsimään tapa muotoilla rikkomus muuksi kuin rikkomukseksi. Tämä uudelleenkehystäminen voi auttaa yritystä välttämään mahdollisia kielteisiä seurauksia, kuten viranomaismääräyksiä, korjauskuluja (esimerkiksi luottovalvontapalveluiden tarjoaminen asiakkaille, joita asia koskee) ja vaikutusta asiakkaiden luottamukseen ja yrityksen maineeseen.
Rikkominen nähdään aivan oikein yrityksen epäonnistumisena suojata rikottuja tietoja. Sitä voidaan myös viime kädessä pitää CISO:n epäonnistumisena. Tämä herättää ikivanhoja kysymyksiä: Missä vastuu loppuu? Ja kuka on viime kädessä vastuussa rikkomuksesta? Siitä huolimatta yrityksen myöntäminen tai paljastaminen ei ole yksinkertaista.
CISO:n eettinen dilemma on: Säilytänkö roolini eheyden ja noudatanko vastuutani? Vai yritänkö muotoilla tapauksen uudelleen niin, ettei yritykseni joudu kantamaan seurauksia?
Haluaisin ajatella, että jos olisin Sullivanin asemassa, olisin halukas luopumaan asemastani sen sijaan, että pettäisin roolini rehellisyyttä ja suoraan sanottuna äänestäjieni luottamuksen. Muutamalla Yhdysvaltain presidentti Harry S. Trumania: "Kyberturvallisuusvastuu loppuu CISO:lle."
2) Mikä on yritykseni suunnitelma, kun (ei jos) joudumme rikkomaan?
Tietoturvatoimittajan CISO:na tunnen liiankin hyvin huonojen toimijoiden ja kansallisvaltioiden motivaation ja päättäväisyyden. Ymmärrän myös todennäköisyydet, joita organisaatiot kohtaavat joutuessaan hyökkäyksen uhriksi - organisaatioiden on oletettava, että niitä rikotaan. Mitä aiot tehdä, kun niin tapahtuu?
Pahimpien mahdollisten skenaarioiden käsitteleminen ja valmiussuunnitelman laatiminen ennen rikkomusta voi minimoida taloudelliset ja toiminnalliset seuraukset. Mitä seisokkeja maksaa, jos hyökkääjä siirtää asiakastuen tai toimitusketjun toiminnan offline-tilaan? Missä järjestelmäsi ovat haavoittuvimpia? Miten hillitset vaurioita ja kuinka nopeasti voit toipua? Miten kommunikoit tapahtuneesta työntekijöillesi, asiakkaillesi ja hallitukselle?
Toimitusjohtajan ja muiden yhtiön toimihenkilöiden on työskenneltävä ennakoivasti CISO:n kanssa näiden ongelmien ratkaisemiseksi ja laadittava kattava suunnitelma, joka on valmis, kun rikkomus tapahtuu. Välittömät toimet - ja rehellisyys - ratkaisevat ennen kaikkea. Mutta tällainen suunnitelma onnistuu vain, jos se on luotu, tarkastettu ja harjoiteltu hyvissä ajoin etukäteen.
3) Mikä on roolini hallituksessa?
Eniten kestävät yritykset sitoutuvat turvallisuuteen huipulla ja ajaa sen alas organisaation kaikilla tasoilla. Tämä tarkoittaa vahvan kyberturvallisuuskulttuurin luomista hallituksen ja työntekijöiden kanssa. Monet CISO:t saattavat joutua kamppailemaan sellaisten hallitusten ennakkoluulojen kanssa, jotka sanovat, että "se ei koskaan tapahdu meille" tai "se tapahtuu joka tapauksessa, joten miksi investoida kyberturvallisuuteen."
Hallitse CISO-suhdetta kuin liikesuhdetta
Yksi tapa CISO:lle parantaa suhdettaan johtokuntaan on toimia siltana teknologian ja liiketoiminnan välillä. Meidän on osoitettava hallitukselle, että hallitsemme kyberturvallisuutta liiketoimintariskinä ja että olemme linjassa organisaation suorituskyvyn, kasvun ja muiden liiketoimintatavoitteiden kanssa. Muista käyttää liiketoiminnan termejä ja tuloksia, ei vain teknisiä lyhenteitä ja käsitteitä. Auta vastaamaan kysymykseen "Miksi minun pitäisi välittää tästä?" Ja jos onnistut saamaan hallitukselta resursseja, on tärkeää seurata raporttia, joka yhdistää pyytämäsi resurssit seuranneisiin liiketoiminnan tuloksiin ja tuloksiin.
Oman kokemukseni mukaan CISO:n on tärkeää ylläpitää suhdetta hallituksensa jäseniin säännöllisten kokousten ulkopuolella ollakseen tehokkain. Tämä antaa meille mahdollisuuden ymmärtää paremmin, mitä hallituksen jäsenet odottavat CISO:lta, ja samalla aloittaa hallituksen kouluttaminen. Viime kädessä kyberturvallisuuden käytäntö on riskien hallintaa, mutta totuus on, että emme voi koskaan poistaa riskejä kokonaan. Päivittäiset tietoloukkausten otsikot ovat saaneet jokaisen CISO:n kuumaan paikkaan. CISO:lla on pelottava tehtävä: heidän täytyy hallita organisaationsa päivittäistä puolustusta ja samalla luoda toimintasuunnitelma tätä väistämätöntä tulevaa hyökkäystä varten. CISO:lta vaaditaan rehellisyyttä ja rehellisyyttä voidakseen menestyksekkäästi johtaa ja menestyä tänään tässä haastavassa ja kriittisessä roolissa.
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
