最高情報セキュリティ責任者 (CISO) の役割は、急速なデジタル変革のおかげで過去 10 年間に拡大しました。現在、CISO は、よりビジネス指向になり、より多くの帽子をかぶって、取締役会メンバー、従業員、顧客と同様に効果的にコミュニケーションを取る必要があります。そうしないと、重大なセキュリティ障害のリスクが発生します。
ラスベガスで開催された CPX 2024 での幅広い報道陣の Q&A では、国際機関の CISO と副社長 (VP) からなるパネルが、デジタル変革、収益へのプレッシャー、セキュリティ意識の欠如がどのように企業の性質の変化を強いているかについて話し合いました。彼らの立場は、技術的なものからビジネス的なもの、そして非常に社交的なものまで幅広くあります。
今日、彼らは、効果的な CISO と、ひいては組織における効果的なセキュリティ文化の違いは、脆弱性の軽減やポリシーの定義と同じくらい、より柔軟なコミュニケーション スキルにあると示唆しました。実際、後者では成功するものの、前者が欠けているセキュリティ リーダーは、最終的に組織を重大な侵害にさらすことになります。
「結果について聞いたんですか?」 Allegiant Travel Company の CISO である Dan Creed 氏は、Dark Reading からの質問に答えて修辞的にこう尋ねました。 「その結果がどうなるかは、SolarWinds に問い合わせてください。彼らにはパスワード ポリシーがあり、インターンはパスワード ポリシーに従わなかったので、その結果を見てください。」
デジタルトランスフォーメーションが CISO をどのように変えたか
IDC のサイバーセキュリティ製品担当プログラム バイスプレジデントであるフランク ディクソン氏は、10 月 6 日に開催された CPX の別の記者会見で、「過去 XNUMX 年間で CISO の役割は変化しましたが、私たちはそれに気づくために立ち止まることはありませんでした」と述べました。
数年前、このポジションは比較的狭いサイバー リスクに焦点を当てて作成されましたが、現在でもそれと関連付けられています。しかし、まず企業の攻撃対象領域が拡大したことにより、その範囲は拡大しました。典型的な侵害には、企業リソースの脆弱性が必要でした。Target 氏や Ashley Madison 氏などを思い浮かべてください。最近、特に新型コロナウイルス感染症以降、 従業員の電子メール、電話、その他のデバイス むしろ、それは組織にとって最大のリスクとなります。情報セキュリティに対する責任が集団的なものになるにつれ、CISO は縦割り組織から追い出されるようになりました。
IDC の新しいレポートについて報道陣に説明するフランク・ディクソン氏。出典: CPX
デジタル変革により、IT はサイロ化された隅から直接業務部門に移行しました。 Dickson 氏が指摘したように、「来年の [グローバル] 40 年の全収益の約 2000% は、デジタル製品とサービスによってもたらされることになります。つまり、これによって IT の性質がコスト設定者から収益を生み出すものへと変化するのです。それが何をもたらすかを考えてみると、CISO の役割が根本的に変わります。」今日の企業が IT をビジネスの推進力として捉えるほど、CISO はサイバー リスクの予防と軽減だけでなく、ビジネス上の意思決定について取締役会に助言したり、開発者、営業担当者、顧客との会合にも参加する必要があります。
CISO のビジネス面での責任の増大は、CPX で明らかになった IDC の調査に反映されています。調査対象となったサイバーセキュリティリーダー847人のうち、10%はCISOの最も重要な仕事はリーダーシップとチーム構築スキルであると信じており、8%はビジネス管理スキルであると考えている。実際のサイバーセキュリティの認識と理解、および IT アーキテクチャとエンジニアリングのスキルは、それぞれ 12% で、それ以上の票を獲得しました。
CISO が従業員によってどのように改善できるか
CISO だけではありません すべき ビジネスマンとしても活動する必要があります。 「そうした関係を築かないと、会社に『まあ、それは私の責任ではない』という文化が定着してしまいます。 SolarWinds や MGM のように。彼らはヘルプ デスクに電話するだけで MFA をリセットしますが、セキュリティ意識を持たないことによる影響を理解も認識もしていません」とクリード氏は説明しました。
クリード氏の議論の繊細さ(円卓会議の他の参加者からも同様の意見)は重要だ。従業員によるセキュリティの怠慢を防ぐことは、単に意識を広めることだけではないと彼らは強調します。なぜなら、知識のある従業員であっても、セキュリティ チームとの関係が健全でない場合や、衛生管理にあまりにも努力が必要な場合には、セキュリティを無視するからです。
「(彼らは)セキュリティは隠蔽されるべきだと言う。私はそれをさらに一歩進めています。セキュリティはビジネスを潤滑し、ビジネスを高速化するものでなければなりません」と、チェック・ポイントのフィールド CISO であるピート・ニコレッティ氏は述べ、現代の CISO の進化した哲学を繰り返しました。同氏は、限られた時代遅れの CISO が伝統的にビジネスを遅らせてきた例として VPN を挙げています。 「私のメールはどのくらいの時間保持されますか? 10 秒ですか、それとも 22 秒ですか? VPN のサインアップにはどれくらい時間がかかりますか?認証に XNUMX 秒かかるため、[従業員] はこの問題を回避するつもりですか?これらをできるだけ透明で使いやすくすることです。実際にプロセスをスピードアップするツールを選び始めて、競争上の優位性を確立しましょう。」
「私が推進している初期の取り組みのいくつかはまさにそれです」とクリード氏は付け加えた。 「VPN から離れて、ラップトップで常時接続を実現しましょう。電源を入れると、気合が入り、セキュリティ スタックを経由してネットワークに接続されます。次の目標は、パスワードレスに移行するための基礎を築くことです。」
従業員と話し合ってセキュリティを容易にするだけでは十分でない場合、CISO は別のインセンティブを試すこともできます。 「実際、私たちはセキュリティ文化に関する KPI 指標を持っています。そして、私たちは実際にボーナスプールに影響を与え始めるところまで準備を進めており、あなたの部門の業績が向上すれば、ボーナスプールが標準を超えて増加します。 。 .] そして、そうしなければ、ボーナスにぶつかります」とクリード氏は説明しました。
CISO が経営幹部とより良く連携するにはどうすればよいか
それからボードです。
IDC は調査の中で、CISO とその仲間の CIO に、CISO が実際に何をしているのか (戦略的アーキテクチャに重点を置いているか、仕事の性質上戦術的なものであるかなど) を質問しました。その結果、回答に少なからず矛盾があることが判明しました。最も近い経営幹部レベルのパートナーは完全に同じ認識を持っているわけではありません。
クリードは最近、そのような事例を思い出しました。「私たちは新しい 737 を数機注文しました。そして、これらは私たちの最初の電子接続された航空機です。 [理事会]は以前の会話に私を含めていませんでしたが、その後、すべての新しい電子接続航空機にはサイバーセキュリティ要件があるという消防訓練になりました。実際、ネットワークセキュリティ計画が承認され受け入れられていない場合は、サイバーセキュリティ要件が課せられることになります。 FAA に登録されている場合、それらの航空機の耐空証明を失います。取締役会が最初に『艦隊を拡大する』というこの道を進むことについて話し始めたとき、それには安全保障上の影響があるかもしれないと考慮したと思いますか?」
「だから、あなたは彼らを教育し、彼らに説明しなければなりません。これが私たちがテーブルに座る必要がある理由です。ビジネスのために行われるあらゆる戦略的決定にはリスクが伴います。 [。 。 ] あなたがもっと 私たちもそのテーブルの席に入れてくださいビジネスを保護し、火災が発生してからではなく、そのリスクが発生した時点でそのリスクがどこにあるのかを考慮することができれば、より良いことになります」と彼は言いました。
そのために、デンバー・ブロンコスの情報技術担当シニアバイスプレジデントであるラス・トレイナー氏は、Dark Reading のインタビューで次のような簡単なヒントを提供しました。
「時々、侵害のニュースを CFO に転送します。これが流出したデータの量で、これにどれだけの費用がかかったと考えられます。」と彼は言います。 「そういったことは心に刺さる傾向があります。」
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/cybersecurity-operations/ciso-role-changing-can-cisos-keep-up
- :持っている
- :は
- :not
- :どこ
- $UP
- 10
- 2000
- 2024
- 22
- 7
- a
- 私たちについて
- 上記の.
- 一般に認められた
- 実際の
- 実際に
- 利点
- アドバイス
- 前
- 航空機
- 同様に
- すべて
- また
- 代替案
- an
- および
- 承認された
- 建築
- です
- 引数
- 周りに
- AS
- 頼む
- 関連する
- At
- 攻撃
- 認証
- 認知度
- 離れて
- バック
- BE
- になりました
- なぜなら
- になる
- になる
- き
- さ
- 信じる
- より良いです
- の間に
- ボード
- ボーナス
- ボトム
- 違反
- ブリーフィング
- ビジネス
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- by
- コール
- 缶
- 場合
- 認証
- 最高財務責任者
- 変化する
- 変更
- 変更
- 変化
- チェック
- チーフ
- 最高情報セキュリティ責任者
- CISO
- 協力します
- 集団
- 伝える
- コミュニケーション
- 企業
- 会社
- 競争力のある
- 講演
- 授与
- 交流
- 結果
- 結果
- 見なさ
- 会話
- コーナー
- 企業
- 費用
- コビッド
- 作成した
- 文化
- Customers
- サイバー
- サイバーセキュリティ
- 暗いです
- 暗い読書
- データ
- 十年
- 決定
- 決定
- 定義
- デンバー
- 部門
- デスク
- 開発者
- DID
- しなかった
- 違い
- デジタル
- do
- ありません
- ドン
- ダウン
- ドリブン
- ドライバー
- 運転
- 前
- 早い
- 容易
- 簡単に
- エコー
- 教育します
- 効果的な
- 効果的に
- ほかに
- メール
- 強調する
- 社員
- end
- エンジニアリング
- 十分な
- 確立
- さらに
- あらゆる
- 進化
- 正確に
- 例
- 幹部
- 詳細
- 拡大
- 実験
- 説明する
- 説明
- 米連邦航空局(FAA)
- 実際
- 障害
- 遠く
- 速いです
- 仲間
- フィールド
- File
- 火災
- 解雇
- 名
- 艦隊
- フォーカス
- 焦点を当て
- 強制的な
- 前者
- フォワード
- 発見
- Foundation
- 率直な
- から
- 根本的に
- さらに
- 生成
- 取得する
- 受け
- グローバル
- 行く
- 最大
- 持っていました
- 持ってる
- 持って
- he
- 健康
- 助けます
- こちら
- 隠されました
- 非常に
- ヒット
- ヒット
- ホーム
- 認定条件
- HTTPS
- i
- IDC
- if
- 無視する
- 画像
- 影響を与える
- 意義
- 重要
- in
- インセンティブ
- include
- 増加
- ますます
- 示します
- 情報
- 情報セキュリティー
- 情報技術
- イニシアチブ
- 微々たる
- を取得する必要がある者
- 統合された
- 世界全体
- インタビュー
- に
- 関係する
- ISN
- IT
- ITS
- ジョブ
- ただ
- キープ
- 欠如
- ノートパソコン
- LAS
- ラスベガス
- 敷設
- リーダー
- リーダーシップ
- う
- ような
- 限定的
- LINE
- ll
- 長い
- 見て
- 失う
- 製
- 主要な
- make
- 作成
- 管理
- 多くの
- 3月
- 問題
- me
- メンバー
- 単に
- メトリック
- MFA
- かもしれない
- 緩和する
- モダン
- 他には?
- 最も
- 移動
- ずっと
- my
- 狭い
- 自然
- 必要
- ネットワーク
- ネットワークセキュリティー
- 決して
- 新作
- ニュース
- 次の
- 知らせ..
- 今
- 客観
- of
- 提供
- オファー
- 役員
- on
- かつて
- ONE
- 開始
- or
- 組織
- 組織
- その他
- その他
- 私たちの
- でる
- が
- ページ
- パネル
- 特に
- パートナー
- パスワード
- 過去
- path
- 哲学
- 携帯電話
- ピッキング
- 計画
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- ポイント
- ポリシー
- 方針
- プール
- プール
- 位置
- 可能
- 社長
- 大統領
- 圧力
- 予防
- プロセス
- 製品
- 演奏曲目
- 守る
- 質問と回答
- 質問
- 急速な
- むしろ
- RE
- リーディング
- 準備
- 実現する
- 本当に
- 受け
- 最近
- 反映
- 関係
- の関係
- 相対的に
- レポート
- 表す
- 必要とする
- 要件
- リソース
- 応答
- 回答
- 責任
- 責任
- 明らかに
- 収入
- リスク
- リスク
- 職種
- s
- 前記
- 営業担当者
- 同じ
- 言う
- 言う
- 秒
- セキュリティ
- セキュリティー認識
- シニア
- 別
- 深刻な
- サービス
- シフト
- すべき
- 署名
- サイロ化
- サイロ
- 簡単な拡張で
- 単に
- から
- スキル
- So
- 社会
- SolarWinds
- 一部
- 何か
- 時々
- ソース
- スピード
- 広がる
- スタック
- start
- 開始
- 明記
- 手順
- まだ
- 停止
- ストレート
- 戦略的
- そのような
- 表面
- Survey
- テーブル
- 取る
- 取り
- 会話
- ターゲット
- チーム
- 技術的
- テクノロジー
- 傾向があります
- より
- 感謝
- それ
- この線
- アプリ環境に合わせて
- それら
- 自分自身
- その後
- そこ。
- ボーマン
- 彼ら
- 物事
- 考える
- この
- それらの
- しかし?
- 繁栄する
- 介して
- 先端
- 〜へ
- 今日
- あまりに
- 豊富なツール群
- 完全に
- 伝統的に
- 変換
- 変換
- トランスペアレント
- 旅行
- しよう
- 順番
- 2
- 典型的な
- わかる
- 理解する
- us
- つかいます
- 中古
- VEGAS
- バイス
- 副会長
- 票
- VPN
- VPN
- 脆弱性
- ました
- we
- 着用
- 体重を計る
- WELL
- した
- この試験は
- いつ
- かどうか
- 誰
- なぜ
- 仕事
- 年
- 年
- You
- あなたの
- ゼファーネット