Mivel a kiberbiztonság egyre fontosabb szempont a vállalati döntéshozatalban, ennek megfelelő lépések történtek az információbiztonsági igazgató (CISO) szerepének magasabb szintre emelésére a vezetői hierarchiában. Úgy tűnik, az érvelés a következő: „Ha a kiber fontos, a CISO-nak fontosnak kell lennie.” A szerep felemelése azonban a CISO-t a „biztonságért” kiáltó magányos hanggá teszi a sivatagban, és kevés kapcsolata van a napi informatikai, mérnöki vagy termékek döntéshozóival.
Ez nemkívánatos következményekkel járt, például a Facebook vezetőjének, aki úgy gondolta, rendben van, hogy a cég biztonsági intézkedései órákig tartó késéseket okozott reagálva a 4. október 2021-i leállásra, vagy az Uber vezetőjének, aki lefizette a hackereket aki megsértette a rendszerét, ahelyett, hogy elismerné a jogsértést, vagy a számos CISO, akik „további biztonsági rétegekbe” fektettek be, ahelyett, hogy elismernék, hogy kezdetben rosszul választottak. Mindezekben az esetekben a CISO funkcionális üzleti egységektől való elszigeteltsége kétségtelenül szerepet játszott abban, hogy ezek a döntések tükröződjenek az alagútban.
Szervezeti hatás
Talán itt az ideje, hogy újragondoljuk a CISO szerepét. Talán jobb, ha a CISO fontosságát a szervezeti hatásban tükrözik, nem pedig a szervezeti státuszban. Talán a biztonság funkcionális egységekbe ágyazása jobb biztonságot eredményez.
Képzelje el a CISO-t az IT-szervezeti ökoszisztéma részeként. Minden infrastruktúrával kapcsolatos döntésben részt vesznek, és a biztonsági aggályok szerves részét képeznék ezeknek a döntéseknek, nem pedig utólag. Ez lehetővé tenné egy sor „biztonsági” megoldást a hálózat felépítésén és kezelésén alapulva, nem pedig egy külső csoport által az infrastruktúrába beépített speciális biztonsági képességeken.
Képzeljen el egy biztonsági szakértőt a szoftverfejlesztési szervezetbe ágyazottan. Képesek lennének finomítani a fejlesztési folyamaton, hogy megbizonyosodjanak arról, hogy a kódot a biztonság szem előtt tartásával írják és tesztelik, anélkül, hogy a fejlesztőket a tőlük idegen folyamatokkal terhelnék, ezzel csökkentve a vállalati kódban található sebezhetőségeket. Képzeljen el egy biztonsági szakértőt a termékcsaládba ágyazottan. Megbizonyosodhatnak arról, hogy a vállalati infrastruktúra megvédi IP-jüket, és fejlesztési folyamatuk csökkenti a termékük sebezhetőségét.
Mindezekben az esetekben a biztonság a vállalati működés valóságán alapuló vállalati döntések tényezőjévé válik. A CISO technikai szakértelme a mindennapi munka szerves részévé válik, nem pedig kényszerként. Hasonlóképpen, a biztonságnak és a megfelelőségnek zökkenőmentesen kell működnie, hogy a pénzügyi rendszerek, valamint a partnerekkel és szállítókkal folytatott kommunikáció biztonságos maradjon. Ez kiterjed a távközlési rendszerekre és egyéb hardverekre.
A kockázati tényező
Ez hatásosabb módja annak, hogy a biztonság technikai dimenziója erőteljes hangot adjon a vállalati végrehajtásban. Azonban felmerülhet a kérdés, hogy ez csökkenti-e a szakpolitikai dimenziót, balkanizálva azt az egyes funkcionális egységek speciális érdekeinek megfelelően. Ezt az aggodalmat orvosolni lehet a kockázatkezelési vezető szerepének a CISO által jelenleg ellátott biztonságpolitikai funkciókkal való kiterjesztésével.
Ennek az az előnye, hogy a biztonsági politikát C-szinten tartja, ahol megkapja a szükséges figyelmet. További előnye, hogy a kiberbiztonsági kockázatot más kockázatokkal összefüggésben veszik figyelembe (az elérhetőség kockázata, a hírnév kockázata, a fenti esetek kezelése érdekében). A biztonság már nem öncél lenne, hanem az üzleti tevékenység dimenziója. Ez nem jelenti azt, hogy a biztonságnak meg kell küzdenie más aggályokkal, és olyan intézkedéseket kell tennie, amelyek veszélyeztetik a szervezet biztonsági helyzetét. Inkább olyan környezetet hoz létre, amely felcseréli a vagy/vagy mentalitást egy olyanra, amely minden igényt kielégít.
Számos hozzáférés-szabályozási technológia létezik, amelyek hatékonyan védték volna a Facebookot anélkül, hogy a saját személyzetét kizárták volna. Ha a biztonsági kockázatot a rendelkezésre állási kockázattal együtt vesszük figyelembe, akkor ezek a pragmatikusabb megoldások jelennek meg.
