לפני זמן לא רב, תפקידו של קצין אבטחת מידע ראשי היה תפקיד טכני גרידא שנועד לעזור לארגון להתגבר על אתגרי אבטחת סייבר. היום, לעומת זאת, תפקיד ה-CISO התפתח - צומח הן באחריות והן בקומה בתוך חברה. ה-CISO הוא כעת חבר קריטי בצוות ההנהלה, האחראי לקשירת לא רק את אבטחת הסייבר, אלא את ניהול הסיכונים הכולל, לאסטרטגיה העסקית ולפעילותה של החברה.
ה-CISO המודרני מעורב בקבלת החלטות אסטרטגית, למשל, להבטיח שהעסק יאמץ בצורה מאובטחת טרנספורמציה דיגיטלית תוך הבטחת הדירקטוריון, הלקוחות והמשקיעים שיכולות הסייבר וההגנות פעילות ומתפתחות עם האיומים הנוכחיים. והם אחראים למינוף אנשים, תהליכים וטכנולוגיות כדי לאפשר לארגון שלהם להגשים את מטרות העל העסקיות שלו בצורה מאובטחת.
בהתחשב בהתפתחות זו בתחומי האחריות, 90 הימים הראשונים של CISO בתפקיד צריכים להיראות שונה בהרבה היום מאשר לפני כמה שנים.
90 הימים הראשונים
בעוד שארגוני CISO רבים רוצים להפגין ערך באופן מיידי על ידי קפיצה עם רעיונות ופרויקטים גדולים ביום הראשון, הם יוכלו להשפיע הרבה יותר לטווח ארוך אם הם יקדישו תחילה את הזמן להבין את המשימה, הערכים והעסקים של החברה מטרות. הם גם צריכים להתעדכן בפעילויות הליבה, מוצרים, שירותים, מחקר ופיתוח, קניין רוחני ותוכניות מיזוג ורכישה. והם צריכים להבין את כל הבעיות הפוטנציאליות, הפרות קודמות, התחייבויות רגולטוריות או חיצוניות, וחובות טכניים קיימים.
בהתחשב בכך, הנה כמה המלצות על המוקד של CISO במהלך 90 הימים הראשונים שלו בעבודה.
קבל הבנה של המשימה והתרבות הגדולה יותר של הארגון
כבר ביום הראשון, התחילו לפרוס אוסף של טכניקות ראיונות ותשאול במטרה להבין את העסק, מטרותיו וסדרי העדיפויות שלו. ראיין את העובדים שלך, מנהיגים עסקיים ברמה בינונית ולקוחות כדי לקבל תחושה של כל מחזיקי העניין המרכזיים, נקודות הכאב הראשוניות ועד כמה בשלה תרבות אבטחת הסייבר בתוך הארגון. לבסוף, תחקור בעדינות את השותפים, הספקים והספקים שלך כדי לקבוע מי רק מוכר ומי הוא יועץ מהימן. מעבר תהליך זה יפתח קווי תקשורת, יחשוף אתגרים ויעזור לבנות תוכנית פעולה ומפת דרכים ל-90 יום.
זהה את תכשיטי הכתר
קבע אילו נתונים ומערכות עומדים בבסיס המשימה האסטרטגית וכישורי הליבה של החברה, מייצגים קניין רוחני, מבדילים את הארגון ממתחריו, או תומכים בפלחי לקוחות עיקריים או בקווי הכנסה. תכשיטי הכתר הללו הם הנכסים הדיגיטליים שסביר להניח שיהיו ממוקדים על ידי גורמי איומים, ולכן יש להאיץ את מאמצי היגיינת הסייבר שלהם. אם ה-C-suite והלוח מבינים את התחומים הקריטיים האלה, הם יכולים לומר לך את תיאבון הסיכון שלהם, ותוכל ליישם אסטרטגיות אבטחה בהתאם.
פתח תוכנית המבוססת על נוף ה-IT והעסק הנוכחי של החברה
לאחר שהנכסים מזוהים ומתעדפים אותם, פתח תוכנית ניהול סיכונים כתובה עם רשימות ביקורת לתוצרים, מבנה ותקשורת בין בעלי עניין פנימיים וחיצוניים מרכזיים. בנקודה אחרונה זו, ה-CISO חייב תמיד לפעול כמתווך מידע וכשותף לכל מקבלי ההחלטות הארגוניים המרכזיים. אחת הדרכים האפקטיביות לעשות זאת היא ליצור תקשורת פורמלית ובלתי פורמלית עם התפקידים הללו, כדי שהארגון יוכל להתקדם אסטרטגית.
לשלוט ביסודות
ישנן טכנולוגיות רבות הדרושות כדי לאבטח את החברה המודרנית, אך יש כמה דברים חובה שצריך ליישם מיד, אם הם עדיין לא. אלה הם בקרות בסיסיות, כולל ניהול פגיעות והגנות נגד תוכנות זדוניות עבור נקודת הקצה, ובקרות בלתי ניתנות למשא ומתן, כולל אימות רב-גורמי, הצפנת נתונים רגישים, רשימת היתרים של יישומים, ניטור אבטחה 24/7, ניטור שלמות קבצים, ניהול גישה מועדפת, פילוח רשת , מניעת אובדן נתונים ופונקציית הערכה וביקורת קפדנית הקשורה לאסטרטגיות פגיעות ותיקון.
יישם בנצ'מרקים
הוכח את הערך של תוכניות אבטחה, תהליכים וטכנולוגיות ל-C-suite, למנהלי היחידה העסקית ולדירקטוריון על ידי יישום אמות מידה והערכות בגרות שמראים כיצד החברה מתמודדת מול מתחרים, כיצד אסטרטגיות אבטחה עומדות מול שיטות עבודה ומסגרות מומלצות בתעשייה, וכיצד יוזמות אבטחה מאפשרות לעסק פעילות מאובטחת.
התייחס תמיד לאבטחה כאל בעיה עסקית
אירועי אבטחה יכולים לגרום לאינספור השלכות על העסק, ולהפך, אבטחה חזקה יכולה לעזור לעסק להצליח בצורה מאובטחת. זו הסיבה שכל כך חשוב שצוותי IT ואבטחה תמיד יישארו משולבים עם הצד העסקי של הארגון. כחלק מכך, דאגו לתקשורת ושיתוף פעולה שוטפים בין מנהיגי ההנהלה, הדירקטוריון ומנהיגי האבטחה. כאשר ההנהלה מבינה את הסיכונים העסקיים הנשקפים מאיומי אבטחת סייבר, הם יהיו מוכנים יותר לשים לב ולהשתתף במאמצי האבטחה.
בתום 90 הימים הראשונים, CISO אמור להיות מסוגל לענות על שאלות כגון: עד כמה מוגן הארגון? מהי בשלות היכולת שלנו מול מסגרות סטנדרטיות בתעשייה? מהן הפגיעויות הקריטיות ביותר שלנו ותרחישי סיכוני סייבר? אילו נתונים הכי חשובים לארגון? לאילו סיכוני נתונים יכולים להיות ההשפעה השלילית המשמעותית ביותר על הארגון? ומה יידרש כדי לשפר את העמדה הביטחונית של הארגון, והאם יש לנו מפת דרכים?
למרות שזה עשוי להיראות כמו הרבה כדי להגיע לתחתית בפרק זמן של שלושה חודשים, ביצוע ששת השלבים האלה יאפשר לחברה שלך להגיע לאבטחה לטווח קצר וארוך ולהצלחה עסקית.
