תפקידו של קצין אבטחת מידע ראשי (CISO) התרחב בעשור האחרון הודות לשינוי דיגיטלי מהיר. כעת CISOs צריכים להיות הרבה יותר מכוונים עסקיים, לחבוש הרבה יותר כובעים ולתקשר ביעילות עם חברי דירקטוריון, עובדים ולקוחות כאחד, או להסתכן בכשלי אבטחה חמורים.
בשאלות ותשובות לעיתונות רחבת היקף ב-CPX 2024 בלאס וגאס, פאנל של CISOs וסגני נשיא (VPs) של ארגונים בינלאומיים התייעץ על האופן שבו טרנספורמציה דיגיטלית, לחצים בשורה התחתונה וחוסר מודעות לאבטחה כפו שינוי בטבע של עמדותיהם - בגדול, מהיותן טכניות לעסקיות וחברתיות מאוד.
כיום, הם הציעו, ההבדל בין CISO אפקטיבי - ובהמשך, תרבות אבטחה אפקטיבית בארגון - הוא לא פחות על מיומנויות תקשורת רכות יותר כמו בהפחתת פגיעויות והגדרת מדיניות. למעשה, מנהיגי אבטחה המשגשגים עם האחרונים אך חסרים בראשונים בסופו של דבר חושפים את הארגונים שלהם לפרצות גדולות.
"שאלת על ההשלכות?" דן קריד, CISO בחברת Allegiant Travel Company, שאל בצורה רטורית בתגובה לשאלה מאת Dark Reading. "שאלו את SolarWinds מה ההשלכות. הייתה להם מדיניות סיסמאות, מתמחה לא פעל לפי מדיניות הסיסמאות, תראה את ההשלכות".
כיצד טרנספורמציה דיגיטלית שינתה את CISO
"תפקיד ה-CISO השתנה במהלך 10 השנים האחרונות, ומעולם לא עצרנו לשים לב לזה", הצהיר פרנק דיקסון, סגן נשיא התוכנית למוצרי אבטחת סייבר ב-IDC, במסיבת עיתונאים נפרדת של CPX ב-6 במרץ.
לפני שנים, התפקיד נוצר עם מיקוד סיכוני סייבר צר יחסית שהוא עדיין קשור אליו היום. אבל זה מורחב, תחילה הודות להרחבת משטח ההתקפה הארגוני. הפרות טיפוסיות שדרשו נקודות תורפה במשאבים ארגוניים - חשבו על Target, Ashley Madison וכדומה. כיום, במיוחד מאז COVID, זה אימיילים, טלפונים ומכשירים אחרים של העובדים שמייצגים במקום את הסיכון הגדול ביותר לארגונים. מאחר שהאחריות של אבטחת המידע הפכה לאחריות קולקטיבית, CISOs נאלצו לצאת מהממגורות שלהם.
פרנק דיקסון מתדרך את העיתונות על הדו"ח החדש של הבינתחומי; מקור: CPX
הטרנספורמציה הדיגיטלית גם העבירה את ה-IT מהפינה המטופחת שלו, היישר לתחום העסקים. כפי שציין דיקסון, "כ-40% מכלל ההכנסות לשנת 2000 [הגלובלית] בשנה הבאה יונעו על ידי מוצרים ושירותים דיגיטליים. אז מה שזה עושה הוא לשנות את אופי ה-IT מקובע עלויות, למשהו שנמצא בדרך ליצירת הכנסות. ואם אתה חושב על מה זה עושה, זה משנה מהותית את תפקיד ה-CISO." ככל שחברות תופסות את ה-IT כיום כמנהל עסקים, כך יש לשלב יותר CISOs לא רק במניעה והפחתה של סיכוני סייבר, אלא גם בייעוץ לדירקטוריון לגבי החלטות עסקיות, ומפגש עם מפתחים, אנשי מכירות ולקוחות.
האחריות הפונה לעסקים יותר ויותר של ה-CISO באה לידי ביטוי בסקר IDC שנחשף ב-CPX. מתוך 847 מנהיגי אבטחת סייבר שנשאלו, 10% מאמינים שהתפקיד החשוב ביותר של CISO הוא כישורי מנהיגות ובניית צוות, ו-8% מאמינים שמדובר בכישורי ניהול עסקי. מודעות והבנה בפועל לאבטחת סייבר, וכישורי ארכיטקטורת IT וכישורי הנדסה, כמעט ולא קיבלו יותר קולות ב-12% כל אחד.
כיצד CISOs יכולים לעשות טוב יותר על ידי עובדים
זה לא רק כי CISOs צריך כפול כאנשי עסקים - הם צריכים. "התוצאה של אי הקמת מערכות יחסים אלה [היא] שאתה מקבל תרבות בחברה של 'טוב, זה לא באחריותי'. כמו SolarWinds ו-MGM. הם מאפסים את ה-MFA שלהם רק על ידי קריאה לדלפק העזרה, למרות שהם לא מבינים או מבינים את ההשלכות של חוסר מודעות לאבטחה", הסביר קריד.
העדינות בטיעון של קריד - מהדהוד על ידי אחרים בשולחן העגול - חשובה. מניעת הפסקת אבטחה על ידי עובדים אינה רק עניין של הפצת מודעות, הם מדגישים, מכיוון שגם עובדים בעלי ידע מתעלמים מאבטחה כאשר מערכת היחסים שלהם עם צוות האבטחה שלהם אינה בריאה, או כאשר ההיגיינה פשוט מתאמצת מדי.
"[הם אומרים] צריך להסתיר את האבטחה. אני לוקח את זה צעד אחד קדימה: אבטחה צריכה לשמן את העסק ולהפוך אותם למהירים יותר", אמר פיט ניקולטי, Field CISO בצ'ק פוינט, מהדהד את הפילוסופיה המפותחת של ה-CISO המודרני. הוא מציע VPNs כדוגמה למקום שבו CISOs מוגבלים ומיושנים האטו את העסקים באופן מסורתי. "כמה זמן זה מחזיק את האימייל שלי: שתי שניות או 10 שניות? כמה זמן לוקח ל-VPN להירשם? האם [העובדים] הולכים לעקוף את זה כי זה לוקח 22 שניות ואימות? [זה עוסק] בניסיון להפוך אותם לשקופים וקלים לשימוש ככל האפשר. התחל לבחור כלים שבאמת מזרזים את התהליך, עד למקום שבו יש לך כעת יתרון תחרותי".
"כמה מהיוזמות המוקדמות ביותר שלי שאני נוהג בהן הן בדיוק כאלה", ציין קריד. "בואו נתרחק מ-VPN, ונגיע למצב תמידי שבו עם המחשב הנייד שלך, אתה מדליק אותו, אתה נדלק, ואתה מחובר לרשת שלנו, חוזר דרך מחסנית האבטחה שלנו. המטרה הבאה היא שאנחנו עכשיו מניחים את הבסיס למעבר ללא סיסמה."
אם דיבור עם העובדים והקלה על האבטחה עבורם אינם מספיקים, CISOs יכולים גם להתנסות בתמריצים חלופיים. "למעשה יש לנו מדדי KPI סביב תרבות האבטחה. ואנחנו מתכוננים לנקודה שאנחנו הולכים להתחיל להשפיע בפועל על מאגרי בונוסים, עד שאם המחלקה שלך מצליחה יותר, זה מגדיל את מאגר הבונוס שלך מעל לנורמה [. . .] ואם לא, אז זה פוגע בבונוס שלך,” הסביר קריד.
כיצד CISOs יכולים לשתף פעולה טוב יותר עם מנהלים עמיתים
ואז יש את הלוח.
בסקר שערך, IDC שאל את CISO ואת חברי ה-CIO שלהם מה CISOs באמת עושים - למשל, האם הם מתמקדים בארכיטקטורה אסטרטגית, או האם העבודה היא טקטית מטבעה - ומצא אי-התאמות לא מבוטלות בתגובות, מה שמצביע על כך שאפילו ה-CISOs השותפים הקרובים ביותר ברמת C אינם לגמרי באותו עמוד.
קריד נזכר במקרה אחד כזה לאחרונה, שבו "הזמנו כמה מטוסי 737 חדשים. ואלה המטוסים המחוברים האלקטרונים הראשונים שלנו. [הדירקטוריון] לא כלל אותי בשיחות הקודמות, ואז זה הפך לתרגיל כיבוי אש שלכל המטוסים החדשים המחוברים האלקטרוני יש דרישות אבטחת סייבר - שלמעשה, אם אין לך תוכנית אבטחת רשת מאושרת ומקובלת עם ה-FAA בקובץ, אתה מאבד את תעודת כושר האוויר שלך עבור המטוסים האלה. אתה חושב שהדירקטוריון, כשהם התחילו לדבר לראשונה על ללכת בדרך הזו של 'אנחנו הולכים להרחיב את הצי', חשב שאולי יש לכך השלכות ביטחוניות?"
"אז אתה צריך לחנך אותם ולהסביר להם: זו הסיבה שאנחנו צריכים מקום ליד השולחן. בכל החלטה אסטרטגית שמתקבלת עבור העסק, קיים סיכון. [. . .] ככל שאתה יותר לכלול אותנו במושב ליד השולחן הזה, ככל שנוכל להגן על העסק טוב יותר ולשקול היכן הסיכון הזה מתחיל ולא פעם אחת שהוא הופך לשריפה", אמר.
לשם כך, בראיון ל-Dark Reading, הציע ראס טריינור, סגן נשיא בכיר לטכנולוגיית מידע בדנבר ברונקוס, טיפ פשוט:
"לפעמים אני מעביר את החדשות על ההפרות לסמנכ"ל הכספים שלי: הנה כמה נתונים הוצאו, הנה כמה אנחנו חושבים שזה עלה", הוא אומר. "הדברים האלה נוטים להכות בבית."
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/cybersecurity-operations/ciso-role-changing-can-cisos-keep-up
- :יש ל
- :הוא
- :לֹא
- :איפה
- $ למעלה
- 10
- 2000
- 2024
- 22
- 7
- a
- אודות
- מֵעַל
- מקובל
- ממשי
- למעשה
- יתרון
- ייעוץ
- לִפנֵי
- כלי טיס
- דוֹמֶה
- תעשיות
- גם
- חלופה
- an
- ו
- מאושר
- ארכיטקטורה
- ARE
- טענה
- סביב
- AS
- לשאול
- המשויך
- At
- לתקוף
- אימות
- מודעות
- רָחוֹק
- בחזרה
- BE
- הפך
- כי
- להיות
- הופך להיות
- היה
- להיות
- תאמינו
- מוטב
- בֵּין
- לוּחַ
- מַעֲנָק
- תַחתִית
- פרות
- תִדרוּך
- עסקים
- אבל
- by
- שיחה
- CAN
- מקרה
- תעודה
- מנהל כספים ראשי
- שינוי
- השתנה
- שינויים
- משתנה
- לבדוק
- רֹאשׁ
- קצין אבטחת מידע ראשי
- CISO
- לשתף פעולה
- קבוצתי
- להעביר
- תקשורת
- חברות
- חברה
- תחרותי
- כנס
- העניק
- מחובר
- תוצאה
- השלכות
- נחשב
- שיחות
- בפינה
- משותף
- עלות
- קוביד
- נוצר
- תַרְבּוּת
- לקוחות
- סייבר
- אבטחת סייבר
- כהה
- קריאה אפלה
- נתונים
- עָשׂוֹר
- החלטה
- החלטות
- הגדרה
- דנבר
- מַחלָקָה
- שולחן כתיבה
- מפתחים
- DID
- לא
- הבדל
- דיגיטלי
- טרנספורמציה דיגיטלית
- do
- עושה
- דון
- לְהַכפִּיל
- מטה
- מונע
- נהג
- נהיגה
- מוקדם יותר
- הכי מוקדם
- קל יותר
- קל
- הדהד
- לחנך
- אפקטיבי
- יעילות
- אחר
- אמייל
- מיילים
- להדגיש
- עובדים
- סוף
- הנדסה
- מספיק
- מקימים
- אֲפִילוּ
- כל
- התפתח
- בדיוק
- דוגמה
- כעובדים בכירים
- לְהַרְחִיב
- מורחב
- לְנַסוֹת
- להסביר
- מוסבר
- הארכה
- ה-FAA
- עובדה
- כישלונות
- רחוק
- מהר יותר
- בחור
- שדה
- שלח
- אש
- מפוטר
- ראשון
- צי
- להתמקד
- מרוכז
- לעקוב
- בעד
- מאולץ
- לשעבר
- קדימה
- מצא
- קרן
- כן
- החל מ-
- ביסודו
- נוסף
- יצירת
- לקבל
- מקבל
- גלוֹבָּלִי
- הולך
- הגדול ביותר
- היה
- יש
- יש
- he
- בריא
- לעזור
- כאן
- מוּסתָר
- מאוד
- מכה
- להיטים
- להחזיק
- עמוד הבית
- איך
- HTTPS
- i
- IDC
- if
- להתעלם
- תמונה
- השפעה
- השלכות
- חשוב
- in
- תמריצים
- לכלול
- עליות
- יותר ויותר
- המציין
- מידע
- אבטחת מידע
- טכנולוגיית מידע
- יוזמות
- חסר חשיבות
- במקום
- משולב
- ברמה בינלאומית
- ראיון אישי
- אל תוך
- מעורב
- J States
- IT
- שֶׁלָה
- עבודה
- רק
- שמור
- חוסר
- מחשב נייד
- אס
- לאס וגאס
- שוכב
- מנהיגים
- מנהיגות
- לתת
- כמו
- מוגבל
- קו
- ll
- ארוך
- נראה
- להפסיד
- עשוי
- גדול
- לעשות
- עשייה
- ניהול
- רב
- צעדה
- דבר
- me
- להרשם/להתחבר
- רק
- מדדים
- משרד חוץ
- יכול
- מקלה
- מודרני
- יותר
- רוב
- המהלך
- נִרגָשׁ
- הרבה
- my
- צר
- טבע
- צורך
- רשת
- אבטחת רשת
- לעולם לא
- חדש
- חדשות
- הבא
- הודעה..
- עַכשָׁיו
- מטרה
- of
- מוצע
- המיוחדות שלנו
- קָצִין
- on
- פעם
- ONE
- התחלתה
- or
- ארגון
- ארגונים
- אחר
- אחרים
- שלנו
- הַחוּצָה
- יותר
- עמוד
- לוח
- במיוחד
- שותפים
- סיסמה
- עבר
- נתיב
- פילוסופיה
- טלפונים
- לקטוף
- תכנית
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- נקודה
- מדיניות
- מדיניות
- בריכה
- ברכות
- עמדה
- אפשרי
- נשיא
- נשיאים
- ללחוץ
- לחצים
- מניעה
- תהליך
- מוצרים
- תָכְנִית
- להגן
- שאלות ותשובות
- שאלה
- מהיר
- במקום
- RE
- קריאה
- מוכן
- להבין
- בֶּאֱמֶת
- קיבלו
- לאחרונה
- משתקף
- קשר
- מערכות יחסים
- יחסית
- לדווח
- לייצג
- לדרוש
- דרישות
- משאבים
- תגובה
- תגובות
- אחריות
- אחריות
- גילה
- הכנסה
- הסיכון
- סיכונים
- תפקיד
- s
- אמר
- אנשי מכירות
- אותו
- לומר
- אומר
- שניות
- אבטחה
- מודעות ביטחונית
- לחצני מצוקה לפנסיונרים
- נפרד
- רציני
- שירותים
- משמרת
- צריך
- חתימה
- סילקה
- ממגורות
- פָּשׁוּט
- בפשטות
- since
- מיומנויות
- So
- חֶברָתִי
- השמש
- כמה
- משהו
- לפעמים
- מָקוֹר
- מְהִירוּת
- הפצת
- לערום
- התחלה
- החל
- אמור
- שלב
- עוד
- נעצר
- ישר
- אסטרטגי
- כזה
- משטח
- סֶקֶר
- שולחן
- לקחת
- לוקח
- מדבר
- יעד
- נבחרת
- טכני
- טכנולוגיה
- נוטה
- מֵאֲשֶׁר
- תודה
- זֶה
- השמיים
- השורה
- שֶׁלָהֶם
- אותם
- עצמם
- אז
- שם.
- אלה
- הֵם
- דברים
- לחשוב
- זֶה
- אלה
- אם כי?
- לשגשג
- דרך
- טיפ
- ל
- היום
- גַם
- כלים
- לְגַמרֵי
- באופן מסורתי
- טרנספורמציה
- טרנספורמציה
- שָׁקוּף
- נסיעות
- מנסה
- תור
- שתיים
- טיפוסי
- להבין
- הבנה
- us
- להשתמש
- מְשׁוּמָשׁ
- VEGAS
- סְגָן
- סגן הנשיא
- קולות
- VPN
- רשתות VPN
- פגיעויות
- היה
- we
- ללבוש
- לשקול
- טוֹב
- היו
- מה
- מתי
- אם
- מי
- למה
- עם
- תיק עבודות
- שנה
- שנים
- אתה
- זפירנט