ככל שאבטחת סייבר הפכה לשיקול חשוב יותר ויותר בקבלת החלטות תאגידית, חל מהלך מקביל להעלאת תפקידו של קצין אבטחת המידע הראשי (CISO) לנקודה גבוהה יותר בהיררכיית המנהלים. נראה שהנימוק הוא, "אם סייבר הוא חשוב, CISOs חייב להיות חשוב." עם זאת, העלאת התפקיד מגדירה את ה-CISO להיות קול בודד במדבר הזוכה "ביטחון", עם מעט קשר למקבלי ההחלטות היומיומיים בתחום ה-IT, ההנדסה או המוצרים.
זה הוביל לכמה השלכות לא רצויות, כמו מנהל פייסבוק שחשב שזה בסדר שאמצעי האבטחה של החברה גרם לעיכובים של שעות בתגובה להפסקה ב-4 באוקטובר 2021, או למנהל Uber מי השתלם להאקרים שהפר את המערכת שלו, במקום להכיר בהפרה, או ה-CISOs הרבים שהשקיעו ב"שכבות נוספות של אבטחה" במקום להודות שהם ביצעו בחירות גרועות בתחילה. בכל המקרים הללו, הבידוד של ה-CISO מיחידות עסקיות פונקציונליות ללא ספק שיחק תפקיד בחשיבת המנהרה שהחלטות אלו משקפות.
השפעה ארגונית
אולי הגיע הזמן לדמיין מחדש את תפקיד ה-CISO. אולי עדיף לראות את חשיבות ה-CISO משתקפת בהשפעה הארגונית ולא במעמד הארגוני. אולי הטמעת אבטחה ביחידות פונקציונליות תביא לאבטחה טובה יותר.
תארו לעצמכם את ה-CISO כחלק ממערכת האקולוגית של ארגון ה-IT. הם יהיו מעורבים בכל החלטה לגבי התשתית, ודאגות האבטחה יהיו חלק בלתי נפרד מההחלטות הללו ולא יוחזרו לאחר מעשה. זה יאפשר קבוצה של פתרונות "אבטחה" המבוססים על האופן שבו הרשת בנויה ומנוהלת, במקום על יכולות אבטחה מיוחדות שהוכנסו לתשתית על ידי קבוצה חיצונית.
תארו לעצמכם מומחה אבטחה המוטמע בארגון פיתוח התוכנה. הם יוכלו לחדד את תהליך הפיתוח כדי לוודא שהקוד נכתב ונבדק עם עין לאבטחה, מבלי להכשיר את המפתחים בתהליכים זרים להם, ובכך להפחית את הפגיעויות בקוד של החברה. תארו לעצמכם מומחה אבטחה המוטמע בקווי מוצרים. הם יוכלו לוודא שהתשתית הארגונית מגינה על ה-IP שלהם ושתהליך הפיתוח שלהם מפחית את הפגיעויות במוצר שלהם.
בכל המקרים הללו, האבטחה הופכת לגורם בהחלטות תאגיד המבוססות על מציאות הפעילות הארגונית. המומחיות הטכנית של ה-CISO הופכת להיות חלק בלתי נפרד מהעבודה היומיומית ולא לאילוץ שנכפה עליה. באופן דומה, אבטחה ותאימות צריכים לעבוד בצורה חלקה כדי שמערכות פיננסיות ותקשורת עם שותפים וספקים יישארו מאובטחים. זה חל על מערכות טלקום וחומרה אחרת.
גורם הסיכון
זה נראה כמו דרך משפיעה יותר להפוך את הממד הטכני של האבטחה לקול חזק בביצוע החברה. עם זאת, ניתן לתהות אם זה יפחית את ממד המדיניות, ויאפשר לו לתת מענה לאינטרסים המיוחדים של יחידות פונקציונליות בודדות. ניתן להתמודד עם דאגה זו על ידי הרחבת תפקידו של קצין הסיכונים הראשי כך שיכלול את פונקציות מדיניות האבטחה המבוצעות כיום על ידי ה-CISO.
יש לכך יתרון בשמירה על מדיניות האבטחה ברמת ה-C, שם היא מקבלת את תשומת הלב הדרושה. יש לו יתרון נוסף בכך שסיכון אבטחת סייבר נבחן בהקשר של סיכונים אחרים (סיכון לזמינות, סיכון למוניטין, כדי לטפל במקרים לעיל). אבטחה כבר לא תהיה מטרה בפני עצמה, אלא מימד של עשיית עסקים. זה לא אומר שהאבטחה צריכה להתמודד עם דאגות אחרות ולבצע התאמות שמסכנות את עמדת האבטחה של הארגון. במקום זאת, היא מקימה סביבה שמחליפה את המנטליות של או/או בסביבה שמבקשת לספק את כל הדרישות.
ישנן טכנולוגיות בקרת גישה רבות שהיו מגינות על פייסבוק ביעילות מבלי לנעול את הצוות שלה. כאשר סיכון האבטחה נחשב יחד עם סיכון הזמינות, יופיעו פתרונות פרגמטיים יותר.
