CISO の役割は変わりつつあります。 CISO 自身もこの状況に追いつくことができるでしょうか?

CISO の役割は変わりつつあります。 CISO 自身もこの状況に追いつくことができるでしょうか?

タイムスタンプ:11年2024月5日午後34時

最高情報セキュリティ責任者 (CISO) の役割は、急速なデジタル変革のおかげで過去 10 年間に拡大しました。現在、CISO は、よりビジネス指向になり、より多くの帽子をかぶって、取締役会メンバー、従業員、顧客と同様に効果的にコミュニケーションを取る必要があります。そうしないと、重大なセキュリティ障害のリスクが発生します。

ラスベガスで開催された CPX 2024 での幅広い報道陣の Q&A では、国際機関の CISO と副社長 (VP) からなるパネルが、デジタル変革、収益へのプレッシャー、セキュリティ意識の欠如がどのように企業の性質の変化を強いているかについて話し合いました。彼らの立場は、技術的なものからビジネス的なもの、そして非常に社交的なものまで幅広くあります。

今日、彼らは、効果的な CISO と、ひいては組織における効果的なセキュリティ文化の違いは、脆弱性の軽減やポリシーの定義と同じくらい、より柔軟なコミュニケーション スキルにあると示唆しました。実際、後者では成功するものの、前者が欠けているセキュリティ リーダーは、最終的に組織を重大な侵害にさらすことになります。

「結果について聞いたんですか?」 Allegiant Travel Company の CISO である Dan Creed 氏は、Dark Reading からの質問に答えて修辞的にこう尋ねました。 「その結果がどうなるかは、SolarWinds に問い合わせてください。彼らにはパスワード ポリシーがあり、インターンはパスワード ポリシーに従わなかったので、その結果を見てください。」

デジタルトランスフォーメーションが CISO をどのように変えたか

IDC のサイバーセキュリティ製品担当プログラム バイスプレジデントであるフランク ディクソン氏は、10 月 6 日に開催された CPX の別の記者会見で、「過去 XNUMX 年間で CISO の役割は変化しましたが、私たちはそれに気づくために立ち止まることはありませんでした」と述べました。

数年前、このポジションは比較的狭いサイバー リスクに焦点を当てて作成されましたが、現在でもそれと関連付けられています。しかし、まず企業の攻撃対象領域が拡大したことにより、その範囲は拡大しました。典型的な侵害には、企業リソースの脆弱性が必要でした。Target 氏や Ashley Madison 氏などを思い浮かべてください。最近、特に新型コロナウイルス感染症以降、 従業員の電子メール、電話、その他のデバイス むしろ、それは組織にとって最大のリスクとなります。情報セキュリティに対する責任が集団的なものになるにつれ、CISO は縦割り組織から追い出されるようになりました。

IDC の新しいレポートについて報道陣に説明するフランク・ディクソン

IDC の新しいレポートについて報道陣に説明するフランク・ディクソン氏。出典: CPX

デジタル変革により、IT はサイロ化された隅から直接業務部門に移行しました。 Dickson 氏が指摘したように、「来年の [グローバル] 40 年の全収益の約 2000% は、デジタル製品とサービスによってもたらされることになります。つまり、これによって IT の性質がコスト設定者から収益を生み出すものへと変化するのです。それが何をもたらすかを考えてみると、CISO の役割が根本的に変わります。」今日の企業が IT をビジネスの推進力として捉えるほど、CISO はサイバー リスクの予防と軽減だけでなく、ビジネス上の意思決定について取締役会に助言したり、開発者、営業担当者、顧客との会合にも参加する必要があります。

CISO のビジネス面での責任の増大は、CPX で明らかになった IDC の調査に反映されています。調査対象となったサイバーセキュリティリーダー847人のうち、10%はCISOの最も重要な仕事はリーダーシップとチーム構築スキルであると信じており、8%はビジネス管理スキルであると考えている。実際のサイバーセキュリティの認識と理解、および IT アーキテクチャとエンジニアリングのスキルは、それぞれ 12% で、それ以上の票を獲得しました。

CISO が従業員によってどのように改善できるか

CISO だけではありません すべき ビジネスマンとしても活動する必要があります。 「そうした関係を築かないと、会社に『まあ、それは私の責任ではない』という文化が定着してしまいます。 SolarWinds や MGM のように。彼らはヘルプ デスクに電話するだけで MFA をリセットしますが、セキュリティ意識を持たないことによる影響を理解も認識もしていません」とクリード氏は説明しました。

クリード氏の議論の繊細さ(円卓会議の他の参加者からも同様の意見)は重要だ。従業員によるセキュリティの怠慢を防ぐことは、単に意識を広めることだけではないと彼らは強調します。なぜなら、知識のある従業員であっても、セキュリティ チームとの関係が健全でない場合や、衛生管理にあまりにも努力が必要な場合には、セキュリティを無視するからです。

「(彼らは)セキュリティは隠蔽されるべきだと言う。私はそれをさらに一歩進めています。セキュリティはビジネスを潤滑し、ビジネスを高速化するものでなければなりません」と、チェック・ポイントのフィールド CISO であるピート・ニコレッティ氏は述べ、現代の CISO の進化した哲学を繰り返しました。同氏は、限られた時代遅れの CISO が伝統的にビジネスを遅らせてきた例として VPN を挙げています。 「私のメールはどのくらいの時間保持されますか? 10 秒ですか、それとも 22 秒ですか? VPN のサインアップにはどれくらい時間がかかりますか?認証に XNUMX 秒かかるため、[従業員] はこの問題を回避するつもりですか?これらをできるだけ透明で使いやすくすることです。実際にプロセスをスピードアップするツールを選び始めて、競争上の優位性を確立しましょう。」

「私が推進している初期の取り組みのいくつかはまさにそれです」とクリード氏は付け加えた。 「VPN から離れて、ラップトップで常時接続を実現しましょう。電源を入れると、気合が入り、セキュリティ スタックを経由してネットワークに接続されます。次の目標は、パスワードレスに移行するための基礎を築くことです。」

従業員と話し合ってセキュリティを容易にするだけでは十分でない場合、CISO は別のインセンティブを試すこともできます。 「実際、私たちはセキュリティ文化に関する KPI 指標を持っています。そして、私たちは実際にボーナスプールに影響を与え始めるところまで準備を進めており、あなたの部門の業績が向上すれば、ボーナスプールが標準を超えて増加します。 。 .] そして、そうしなければ、ボーナスにぶつかります」とクリード氏は説明しました。

CISO が経営幹部とより良く連携するにはどうすればよいか

それからボードです。

IDC は調査の中で、CISO とその仲間の CIO に、CISO が実際に何をしているのか (戦略的アーキテクチャに重点を置いているか、仕事の性質上戦術的なものであるかなど) を質問しました。その結果、回答に少なからず矛盾があることが判明しました。最も近い経営幹部レベルのパートナーは完全に同じ認識を持っているわけではありません。

クリードは最近、そのような事例を思い出しました。「私たちは新しい 737 を数機注文しました。そして、これらは私たちの最初の電子接続された航空機です。 [理事会]は以前の会話に私を含めていませんでしたが、その後、すべての新しい電子接続航空機にはサイバーセキュリティ要件があるという消防訓練になりました。実際、ネットワークセキュリティ計画が承認され受け入れられていない場合は、サイバーセキュリティ要件が課せられることになります。 FAA に登録されている場合、それらの航空機の耐空証明を失います。取締役会が最初に『艦隊を拡大する』というこの道を進むことについて話し始めたとき、それには安全保障上の影響があるかもしれないと考慮したと思いますか?」

「だから、あなたは彼らを教育し、彼らに説明しなければなりません。これが私たちがテーブルに座る必要がある理由です。ビジネスのために行われるあらゆる戦略的決定にはリスクが伴います。 [。 。 ] あなたがもっと 私たちもそのテーブルの席に入れてくださいビジネスを保護し、火災が発生してからではなく、そのリスクが発生した時点でそのリスクがどこにあるのかを考慮することができれば、より良いことになります」と彼は言いました。

そのために、デンバー・ブロンコスの情報技術担当シニアバイスプレジデントであるラス・トレイナー氏は、Dark Reading のインタビューで次のような簡単なヒントを提供しました。

「時々、侵害のニュースを CFO に転送します。これが流出したデータの量で、これにどれだけの費用がかかったと考えられます。」と彼は言います。 「そういったことは心に刺さる傾向があります。」

タイムスタンプ:

より多くの 暗い読書