नई सीआईएसओ: भूमिका पर पुनर्विचार

नई सीआईएसओ: भूमिका पर पुनर्विचार

समय टिकट: 19 मार्च, 2024 10:00 पूर्वाह्न
नया सीआईएसओ: प्लेटोब्लॉकचेन डेटा इंटेलिजेंस की भूमिका पर पुनर्विचार। लंबवत खोज. ऐ.

टीका

कंपनियां साइबर सुरक्षा के महत्व को पहचानती हैं और इसे अपनी परिचालन रणनीतियों में एक परिसंपत्ति के रूप में तेजी से शामिल कर रही हैं। लेकिन सुरक्षा और संचालन को मिलाकर, संगठन मुख्य सूचना सुरक्षा अधिकारी (सीआईएसओ) के मुख्य मिशन को कमजोर कर सकते हैं: कंपनी की संपत्तियों को अवांछित हमलों से बचाना। 

1990 के दशक से, सीआईएसओ की भूमिका अधिक तकनीकी और आईटी-केंद्रित थी। सुरक्षा काली और सफ़ेद थी और विभाग जोखिम समझी जाने वाली किसी भी चीज़ को ख़त्म करने का प्रयास करते थे। हालाँकि, पिछले 20 वर्षों में, नौकरी बदल गई है। सीआईएसओ को हल किए जा सकने वाले जोखिमों से कहीं अधिक जोखिमों का सामना करना पड़ता है, उनसे परिचालन क्षमता के साथ सुरक्षा को संतुलित करने की अपेक्षा की जाती है, और उन्हें नेताओं को सुरक्षा में निवेश करने के लिए राजी करना चाहिए।

आज, सीआईएसओ से यह भी अपेक्षा की जाती है कि वे उल्लंघनों के लिए जवाबदेह रहते हुए भी व्यावसायिक आवश्यकताओं को टाल दें। नेटवर्किंग कार्यक्रमों में, मैं व्यावसायिक पृष्ठभूमि वाले अधिक से अधिक सीआईएसओ को नौकरी के साइबर पहलुओं पर कम और व्यावसायिक प्राथमिकताओं का समर्थन करने पर अधिक ध्यान केंद्रित करते हुए देख रहा हूं। 

यह स्विच कंपनियों को अनिश्चित स्थिति में छोड़ सकता है। गति के लिए साइबर सुरक्षा परिश्रम में ढील देने से न केवल कंपनी के डेटा की सुरक्षा को खतरा है, बल्कि अनावश्यक जोखिम भी पैदा होता है। और यह महत्वहीन नहीं है. के अनुसार आईबीएम की "डेटा उल्लंघन रिपोर्ट 2023 की लागत," 2023 में डेटा उल्लंघन की औसत लागत $4.45 मिलियन थी, जो तीन वर्षों में 15% की वृद्धि है। 

2024 में हमें सीआईएसओ की भूमिका पर एक बार फिर से विचार करने की जरूरत है। आज के सीआईएसओ को अपने संगठन को यह समझने में मदद करनी चाहिए कि जोखिम में कमी को प्राथमिकता देना आधुनिक खतरों के सामने व्यवसाय के लचीलेपन की कुंजी है।

आज का सीआईएसओ: लचीला राजनीतिज्ञ

सीआईएसओ एक समय इस विचार के आधार पर अपना महत्व बेचने में सक्षम थे कि, साइबर शब्दों में, आकाश गिर रहा है। लेकिन जैसे-जैसे कंपनियों के व्यापार और सुरक्षा पक्षों का विलय हुआ, कॉर्पोरेट जवाबदेही चलन में आई। सीआईएसओ का ध्यान जोखिम से बचाव से हटकर जोखिम की स्थिति और इस बात पर विचार करने पर केंद्रित हो गया कि व्यावसायिक लक्ष्यों की प्राप्ति में कौन सा स्तर स्वीकार्य है। 

कई मामलों में, राजस्व उत्पन्न करने वाली व्यावसायिक इकाइयाँ अब इस बात पर अंतिम निर्णय लेती हैं कि साइबर जोखिम सहित जोखिम का कौन सा स्तर स्वीकार्य है। इस बीच, कारोबारी नेता, जो साइबर सुरक्षा में अधिक जानकार हो गए हैं, अब यह नहीं सुनना चाहते कि आसमान गिर रहा है। इसके बजाय, वे चाहते हैं कि सीआईएसओ का ध्यान उद्यम को साइबर हमलों से बचाते हुए विकास और लाभप्रदता पर केंद्रित रहे। रैंसमवेयर के प्रसार के साथ, सीआईएसओ को न केवल सुरक्षा जोखिमों को रोकना, पता लगाना और उनका निवारण करना चाहिए, बल्कि अब इस बात पर भी विचार करना चाहिए कि साइबर हमलों से सिस्टम कितने लचीले हैं जो कंपनी को व्यवसाय से बाहर कर सकते हैं। सीआईएसओ को इस बात पर भी ध्यान देना चाहिए कि कंपनी किसी साइबर घटना से कितनी जल्दी उबर सकती है। 

सीआईएसओ के लिए अच्छी खबर यह है कि इनमें से कई भूमिकाओं को वास्तविक सी-स्तर की स्थिति तक बढ़ा दिया गया है। बुरी खबर यह है कि उनकी भूमिका मुख्य रूप से एक सलाहकार की है, जो कि नेताओं द्वारा स्वीकार्य जोखिम के रूप में देखी जाती है। प्रतिभूति और विनिमय आयोग (एसईसी) और न्याय विभाग के बढ़ते दबाव को देखते हुए साइबर हमले के मद्देनजर सीआईएसओ की जवाबदेही, यह स्थिति तेजी से अस्थिर होती जा रही है।

सीआईएसओ के लिए अगला चरण

आज सफल होने के लिए, सीआईएसओ को मजबूत बुनियादी सिद्धांतों को बनाए रखते हुए नए कौशल विकसित करने की आवश्यकता है। यहां बताया गया है कि इसे कैसे पूरा किया जा सकता है। 

  • जानें कि बोर्ड से कैसे बात करें. सीआईएसओ को वार्ताकार बनने की जरूरत है। उन्हें मजबूत सुरक्षा के पक्ष में बहस करने और बोर्डों और व्यावसायिक इकाइयों को उन जोखिमों के बारे में समझाने की ज़रूरत है, जिन्हें वे समझते हैं। सीआईएसओ इस बारे में कैसे काम करता है, यह अलग-अलग हो सकता है, यह इस पर निर्भर करता है कि बोर्ड के सदस्यों का अनुभव प्रौद्योगिकी या व्यवसाय में है या नहीं। एक प्रदर्शन प्रदान करना जो तकनीकी जोखिम को व्यावसायिक परिप्रेक्ष्य में रखता है, सहायक हो सकता है। सीआईएसओ को अन्य सी-स्तर के अधिकारियों के साथ-साथ अन्य उद्योगों के सीआईएसओ के साथ भी बात करनी चाहिए ताकि वे अपने बोर्ड के साथ होने वाली समान बातचीत पर अग्रिम खरीद और अलग-अलग दृष्टिकोण प्राप्त कर सकें। 

  • भूरे रंग के साथ सहज हो जाओ. सीआईएसओ को लचीलेपन के महत्व पर ध्यान केंद्रित करते हुए जोखिम-आधारित दृष्टिकोण विकसित करने में सहज होने की आवश्यकता है, क्योंकि हमलावर ऐसा करेंगे आक्रमणों का जवाब देने के लिए एक परीक्षित योजना विकसित करना, निवारक उपायों को लागू करने जितना ही महत्वपूर्ण है। और हमेशा याद रखें, आप पूर्ण सुरक्षा प्रदान नहीं कर सकते... यह लागत के साथ जोखिम को संतुलित करना है।

  • बुनियादी बातों पर जोर दें. सीआईएसओ को एक गहन तकनीकी टीम का निर्माण करना चाहिए जो प्रमुख सुरक्षा प्रथाओं पर ध्यान केंद्रित कर सके। उन्हें सिस्टम शटडाउन या इंटरनेट से कनेक्ट होने में असमर्थता जैसे परिदृश्यों पर टेबलटॉप अभ्यास चलाना चाहिए। सीआईएसओ को प्रतिक्रिया देने के तरीके के बारे में धारणाओं पर भरोसा नहीं करना चाहिए; सभी प्रतिक्रिया योजनाओं को चलाना और उनका परीक्षण करना महत्वपूर्ण है। 

  • तकनीक के बारे में विचारशील रहें. आज सुरक्षा टीमों के पास जांचने के लिए बहुत अधिक जानकारी है। डेटा को समेकित करना और स्वचालन में निवेश करना आवश्यक है। पिछली भूमिका में, मुझे पता चला कि मेरी टीम अपना एक-तिहाई समय डेटा इकट्ठा करने और रिपोर्ट बनाने में खर्च कर रही थी। यह किसी के समय का सदुपयोग नहीं है. स्वचालन मदद कर सकता है. इससे आपकी टीम का करियर भी समृद्ध होगा और आप प्रशासनिक कार्यों के बजाय सुरक्षा पर ध्यान केंद्रित कर सकेंगे।

  • दस्तावेज़ सब कुछ। जब कोई नुकसानदायक घटना घटती है, तो अक्सर इसका दोष सीआईएसओ पर मढ़ दिया जाता है। हाल के वर्षों में, प्रमुख कंपनियों के सीआईएसओ को जाने दिया गया है, उन्हें अदालत में गवाही देने के लिए बुलाया गया है, और, कुछ मामलों में, आरोप लगाया साथ में अपराधों. सीआईएसओ को एक साइबर हमले प्रतिक्रिया योजना विकसित करनी चाहिए, हर कदम का दस्तावेजीकरण करना चाहिए और उसका सख्ती से पालन करना चाहिए। ऐसा करने से शायद सीआईएसओ की नौकरी न बचे, लेकिन यह उन्हें अदालत से बाहर रख सकता है। 

एक नए खतरे के परिदृश्य के लिए एक नया सीआईएसओ

RSI उद्यम आईटी परिदृश्य में काफी बदलाव आया है पिछले 40 वर्षों में, यह तेजी से बिखरा हुआ, क्लाउड-आधारित और व्यवसाय संचालन के लिए केंद्रीय बनता जा रहा है। साइबर-खतरे का परिदृश्य भी ऐसा ही है, उल्लंघनों को अब व्यापक रूप से अपरिहार्य माना जाता है। इतने सारे बदलावों के साथ, यह अवास्तविक है कि आज का सीआईएसओ पिछले दशकों की तरह ही काम करेगा। इस नये माहौल में, सीआईएसओ को फिर से परिभाषित करना होगा कि वे साइबर-लचीलेपन को कैसे संतुलित करते हैं और परिचालन संबंधी मांगें, वरिष्ठ नेताओं और बोर्ड के साथ बातचीत, और टीम और तकनीकी नेतृत्व प्रदान करना।

समय टिकट:

से अधिक डार्क रीडिंग