תפקיד CISO משתנה. האם CISOs עצמם יכולים לעמוד בקצב?

תפקיד CISO משתנה. האם CISOs עצמם יכולים לעמוד בקצב?

חותמת זמן: 11 במרץ 2024 5:34

תפקידו של קצין אבטחת מידע ראשי (CISO) התרחב בעשור האחרון הודות לשינוי דיגיטלי מהיר. כעת CISOs צריכים להיות הרבה יותר מכוונים עסקיים, לחבוש הרבה יותר כובעים ולתקשר ביעילות עם חברי דירקטוריון, עובדים ולקוחות כאחד, או להסתכן בכשלי אבטחה חמורים.

בשאלות ותשובות לעיתונות רחבת היקף ב-CPX 2024 בלאס וגאס, פאנל של CISOs וסגני נשיא (VPs) של ארגונים בינלאומיים התייעץ על האופן שבו טרנספורמציה דיגיטלית, לחצים בשורה התחתונה וחוסר מודעות לאבטחה כפו שינוי בטבע של עמדותיהם - בגדול, מהיותן טכניות לעסקיות וחברתיות מאוד.

כיום, הם הציעו, ההבדל בין CISO אפקטיבי - ובהמשך, תרבות אבטחה אפקטיבית בארגון - הוא לא פחות על מיומנויות תקשורת רכות יותר כמו בהפחתת פגיעויות והגדרת מדיניות. למעשה, מנהיגי אבטחה המשגשגים עם האחרונים אך חסרים בראשונים בסופו של דבר חושפים את הארגונים שלהם לפרצות גדולות.

"שאלת על ההשלכות?" דן קריד, CISO בחברת Allegiant Travel Company, שאל בצורה רטורית בתגובה לשאלה מאת Dark Reading. "שאלו את SolarWinds מה ההשלכות. הייתה להם מדיניות סיסמאות, מתמחה לא פעל לפי מדיניות הסיסמאות, תראה את ההשלכות".

כיצד טרנספורמציה דיגיטלית שינתה את CISO

"תפקיד ה-CISO השתנה במהלך 10 השנים האחרונות, ומעולם לא עצרנו לשים לב לזה", הצהיר פרנק דיקסון, סגן נשיא התוכנית למוצרי אבטחת סייבר ב-IDC, במסיבת עיתונאים נפרדת של CPX ב-6 במרץ.

לפני שנים, התפקיד נוצר עם מיקוד סיכוני סייבר צר יחסית שהוא עדיין קשור אליו היום. אבל זה מורחב, תחילה הודות להרחבת משטח ההתקפה הארגוני. הפרות טיפוסיות שדרשו נקודות תורפה במשאבים ארגוניים - חשבו על Target, Ashley Madison וכדומה. כיום, במיוחד מאז COVID, זה אימיילים, טלפונים ומכשירים אחרים של העובדים שמייצגים במקום את הסיכון הגדול ביותר לארגונים. מאחר שהאחריות של אבטחת המידע הפכה לאחריות קולקטיבית, CISOs נאלצו לצאת מהממגורות שלהם.

פרנק דיקסון מתדרך את העיתונות על הדו"ח החדש של הבינתחומי

פרנק דיקסון מתדרך את העיתונות על הדו"ח החדש של הבינתחומי; מקור: CPX

הטרנספורמציה הדיגיטלית גם העבירה את ה-IT מהפינה המטופחת שלו, היישר לתחום העסקים. כפי שציין דיקסון, "כ-40% מכלל ההכנסות לשנת 2000 [הגלובלית] בשנה הבאה יונעו על ידי מוצרים ושירותים דיגיטליים. אז מה שזה עושה הוא לשנות את אופי ה-IT מקובע עלויות, למשהו שנמצא בדרך ליצירת הכנסות. ואם אתה חושב על מה זה עושה, זה משנה מהותית את תפקיד ה-CISO." ככל שחברות תופסות את ה-IT כיום כמנהל עסקים, כך יש לשלב יותר CISOs לא רק במניעה והפחתה של סיכוני סייבר, אלא גם בייעוץ לדירקטוריון לגבי החלטות עסקיות, ומפגש עם מפתחים, אנשי מכירות ולקוחות.

האחריות הפונה לעסקים יותר ויותר של ה-CISO באה לידי ביטוי בסקר IDC שנחשף ב-CPX. מתוך 847 מנהיגי אבטחת סייבר שנשאלו, 10% מאמינים שהתפקיד החשוב ביותר של CISO הוא כישורי מנהיגות ובניית צוות, ו-8% מאמינים שמדובר בכישורי ניהול עסקי. מודעות והבנה בפועל לאבטחת סייבר, וכישורי ארכיטקטורת IT וכישורי הנדסה, כמעט ולא קיבלו יותר קולות ב-12% כל אחד.

כיצד CISOs יכולים לעשות טוב יותר על ידי עובדים

זה לא רק כי CISOs צריך כפול כאנשי עסקים - הם צריכים. "התוצאה של אי הקמת מערכות יחסים אלה [היא] שאתה מקבל תרבות בחברה של 'טוב, זה לא באחריותי'. כמו SolarWinds ו-MGM. הם מאפסים את ה-MFA שלהם רק על ידי קריאה לדלפק העזרה, למרות שהם לא מבינים או מבינים את ההשלכות של חוסר מודעות לאבטחה", הסביר קריד.

העדינות בטיעון של קריד - מהדהוד על ידי אחרים בשולחן העגול - חשובה. מניעת הפסקת אבטחה על ידי עובדים אינה רק עניין של הפצת מודעות, הם מדגישים, מכיוון שגם עובדים בעלי ידע מתעלמים מאבטחה כאשר מערכת היחסים שלהם עם צוות האבטחה שלהם אינה בריאה, או כאשר ההיגיינה פשוט מתאמצת מדי.

"[הם אומרים] צריך להסתיר את האבטחה. אני לוקח את זה צעד אחד קדימה: אבטחה צריכה לשמן את העסק ולהפוך אותם למהירים יותר", אמר פיט ניקולטי, Field CISO בצ'ק פוינט, מהדהד את הפילוסופיה המפותחת של ה-CISO המודרני. הוא מציע VPNs כדוגמה למקום שבו CISOs מוגבלים ומיושנים האטו את העסקים באופן מסורתי. "כמה זמן זה מחזיק את האימייל שלי: שתי שניות או 10 שניות? כמה זמן לוקח ל-VPN להירשם? האם [העובדים] הולכים לעקוף את זה כי זה לוקח 22 שניות ואימות? [זה עוסק] בניסיון להפוך אותם לשקופים וקלים לשימוש ככל האפשר. התחל לבחור כלים שבאמת מזרזים את התהליך, עד למקום שבו יש לך כעת יתרון תחרותי".

"כמה מהיוזמות המוקדמות ביותר שלי שאני נוהג בהן הן בדיוק כאלה", ציין קריד. "בואו נתרחק מ-VPN, ונגיע למצב תמידי שבו עם המחשב הנייד שלך, אתה מדליק אותו, אתה נדלק, ואתה מחובר לרשת שלנו, חוזר דרך מחסנית האבטחה שלנו. המטרה הבאה היא שאנחנו עכשיו מניחים את הבסיס למעבר ללא סיסמה."

אם דיבור עם העובדים והקלה על האבטחה עבורם אינם מספיקים, CISOs יכולים גם להתנסות בתמריצים חלופיים. "למעשה יש לנו מדדי KPI סביב תרבות האבטחה. ואנחנו מתכוננים לנקודה שאנחנו הולכים להתחיל להשפיע בפועל על מאגרי בונוסים, עד שאם המחלקה שלך מצליחה יותר, זה מגדיל את מאגר הבונוס שלך מעל לנורמה [. . .] ואם לא, אז זה פוגע בבונוס שלך,” הסביר קריד.

כיצד CISOs יכולים לשתף פעולה טוב יותר עם מנהלים עמיתים

ואז יש את הלוח.

בסקר שערך, IDC שאל את CISO ואת חברי ה-CIO שלהם מה CISOs באמת עושים - למשל, האם הם מתמקדים בארכיטקטורה אסטרטגית, או האם העבודה היא טקטית מטבעה - ומצא אי-התאמות לא מבוטלות בתגובות, מה שמצביע על כך שאפילו ה-CISOs השותפים הקרובים ביותר ברמת C אינם לגמרי באותו עמוד.

קריד נזכר במקרה אחד כזה לאחרונה, שבו "הזמנו כמה מטוסי 737 חדשים. ואלה המטוסים המחוברים האלקטרונים הראשונים שלנו. [הדירקטוריון] לא כלל אותי בשיחות הקודמות, ואז זה הפך לתרגיל כיבוי אש שלכל המטוסים החדשים המחוברים האלקטרוני יש דרישות אבטחת סייבר - שלמעשה, אם אין לך תוכנית אבטחת רשת מאושרת ומקובלת עם ה-FAA בקובץ, אתה מאבד את תעודת כושר האוויר שלך עבור המטוסים האלה. אתה חושב שהדירקטוריון, כשהם התחילו לדבר לראשונה על ללכת בדרך הזו של 'אנחנו הולכים להרחיב את הצי', חשב שאולי יש לכך השלכות ביטחוניות?"

"אז אתה צריך לחנך אותם ולהסביר להם: זו הסיבה שאנחנו צריכים מקום ליד השולחן. בכל החלטה אסטרטגית שמתקבלת עבור העסק, קיים סיכון. [. . .] ככל שאתה יותר לכלול אותנו במושב ליד השולחן הזה, ככל שנוכל להגן על העסק טוב יותר ולשקול היכן הסיכון הזה מתחיל ולא פעם אחת שהוא הופך לשריפה", אמר.

לשם כך, בראיון ל-Dark Reading, הציע ראס טריינור, סגן נשיא בכיר לטכנולוגיית מידע בדנבר ברונקוס, טיפ פשוט:

"לפעמים אני מעביר את החדשות על ההפרות לסמנכ"ל הכספים שלי: הנה כמה נתונים הוצאו, הנה כמה אנחנו חושבים שזה עלה", הוא אומר. "הדברים האלה נוטים להכות בבית."

בול זמן:

עוד מ קריאה אפלה