De rol van CISO is aan het veranderen. Kunnen CISO's het zelf bijhouden?

De rol van Chief Information Security Officer (CISO) is de afgelopen tien jaar uitgebreid dankzij de snelle digitale transformatie. Nu moeten CISO's veel meer bedrijfsgericht zijn, veel meer hoeden dragen en effectief communiceren met bestuursleden, werknemers en klanten, anders riskeren ze ernstige beveiligingsproblemen.

In een uitgebreide persvraag en antwoord op CPX 2024 in Las Vegas besprak een panel van CISO’s en vice-presidenten (VP’s) van internationale organisaties hoe de digitale transformatie, de druk op de bedrijfsresultaten en het gebrek aan veiligheidsbewustzijn een verschuiving in de aard van de bedrijfsvoering hebben afgedwongen. hun posities – in grote lijnen, van technisch tot zakelijk en zeer sociaal.

Tegenwoordig, zo suggereerden ze, gaat het verschil tussen een effectieve CISO – en, bij uitbreiding, een effectieve beveiligingscultuur binnen een organisatie – evenzeer over zachtere communicatieve vaardigheden als over het beperken van kwetsbaarheden en het definiëren van beleid. Veiligheidsleiders die wel gedijen met het laatste, maar het eerste ontberen, stellen hun organisaties uiteindelijk bloot aan grote inbreuken.

‘Je vroeg naar de gevolgen?’ vroeg Dan Creed, CISO bij Allegiant Travel Company, retorisch in antwoord op een vraag van Dark Reading. “Vraag SolarWinds wat de gevolgen zijn. Ze hadden een wachtwoordbeleid, een stagiair volgde het wachtwoordbeleid niet, kijk maar naar de gevolgen.”

Hoe digitale transformatie de CISO heeft getransformeerd

“De rol van de CISO is de afgelopen tien jaar veranderd, en dat hebben we nooit echt opgemerkt”, verklaarde Frank Dickson, programma-vice-president voor cybersecurityproducten bij IDC, op een aparte CPX-persconferentie op 10 maart.

Jaren geleden werd deze positie gecreëerd met de relatief beperkte focus op cyberrisico's waarmee deze vandaag de dag nog steeds wordt geassocieerd. Maar het is uitgebreid, in de eerste plaats dankzij een verbreding van het aanvalsoppervlak van bedrijven. Typische inbreuken vereisten vroeger kwetsbaarheden in bedrijfsbronnen – denk aan Target, Ashley Madison en dergelijke. Tegenwoordig, vooral sinds COVID, is dat zo e-mails, telefoons en andere apparaten van werknemers die in plaats daarvan het grootste risico voor organisaties vertegenwoordigen. Nu de verantwoordelijkheid voor informatiebeveiliging een collectieve verantwoordelijkheid is geworden, zijn CISO's uit hun silo's verdreven.

Frank Dickson informeert de pers over het nieuwe rapport van IDC; Bron: CPX

De digitale transformatie heeft IT ook vanuit zijn geïsoleerde hoek naar de branche verplaatst. Zoals Dickson opmerkte: “Ongeveer 40% van alle inkomsten voor de [Global] 2000 volgend jaar zal worden gegenereerd door digitale producten en diensten. Wat dat betekent, is dat de aard van IT verandert van een kostenbepaler naar iets dat op weg is om inkomsten te genereren. En als je bedenkt wat dat doet, verandert dat de rol van de CISO fundamenteel.” Hoe meer bedrijven IT tegenwoordig zien als een zakelijke aanjager, hoe meer CISO's moeten worden geïntegreerd in het niet alleen voorkomen en beperken van cyberrisico's, maar ook in het adviseren van het bestuur over zakelijke beslissingen en het ontmoeten van ontwikkelaars, verkopers en klanten.

De steeds meer zakelijke verantwoordelijkheden van de CISO kwamen tot uiting in een IDC-onderzoek dat werd onthuld op CPX. Van de 847 ondervraagde cyberbeveiligingsleiders is 10% van mening dat de belangrijkste taak van een CISO leiderschaps- en teambuildingvaardigheden is, en 8% gelooft dat dit vaardigheden op het gebied van bedrijfsmanagement zijn. Het daadwerkelijke bewustzijn en begrip van cyberbeveiliging, en de vaardigheden op het gebied van IT-architectuur en engineering, kregen met 12% per stuk nauwelijks meer stemmen.

Hoe CISO's het beter kunnen doen door werknemers

Het zijn niet alleen die CISO's moet verdubbelen als zakenmensen – dat is nodig. “Het gevolg van het niet aangaan van deze relaties is dat je binnen het bedrijf een cultuur krijgt van 'Nou, het is niet mijn verantwoordelijkheid.' Zoals SolarWinds en MGM. Ze resetten hun MFA eenvoudigweg door een telefoontje naar de helpdesk, hoewel ze de gevolgen van het ontbreken van beveiligingsbewustzijn niet begrijpen of realiseren”, legt Creed uit.

De subtiliteit in het betoog van Creed – herhaald door anderen tijdens de rondetafelconferentie – is belangrijk. Het voorkomen van inbreuken op de beveiliging door medewerkers is niet simpelweg een kwestie van bewustzijn vergroten, benadrukken ze, omdat zelfs goed geïnformeerde medewerkers de beveiliging negeren als hun relatie met hun beveiligingsteam niet gezond is, of als de hygiëne simpelweg te veel moeite kost.

“[Ze zeggen] dat de beveiliging verborgen moet zijn. Ik ga nog een stap verder: beveiliging moet het bedrijfsleven smeren en sneller maken”, zegt Pete Nicoletti, Field CISO bij Check Point, in navolging van de ontwikkelde filosofie van de moderne CISO. Hij noemt VPN's als voorbeeld van waar beperkte, ouderwetse CISO's traditioneel de zaken hebben vertraagd. “Hoe lang houdt dat mijn e-mail vast: twee seconden of tien seconden? Hoe lang duurt het aanmelden bij VPN? Gaan [werknemers] er omheen werken omdat het 10 seconden duurt en authenticatie? [Het gaat erom] deze zo transparant en gebruiksvriendelijk mogelijk te maken. Begin met het kiezen van tools die het proces daadwerkelijk versnellen, waardoor je nu een concurrentievoordeel hebt.”

"Sommige van mijn eerste initiatieven die ik aan het ondernemen ben, zijn precies dat," vervolgde Creed. “Laten we afstappen van VPN en naar een altijd-aan-modus gaan waarbij je je laptop aanzet, aan de slag gaat en verbinding maakt met ons netwerk, waarbij je teruggaat via onze beveiligingsstack. Het volgende doel is dat we nu de basis leggen voor de overstap naar wachtwoordloos.”

Als praten met werknemers en de veiligheid voor hen makkelijker maken niet genoeg is, kunnen CISO's ook experimenteren met alternatieve prikkels. “We hebben eigenlijk KPI-statistieken rond de beveiligingscultuur. En we bereiden ons voor op het punt dat we daadwerkelijk invloed gaan uitoefenen op de bonuspools, zodat als uw afdeling het beter doet, uw bonuspool boven de norm uitkomt [. . .] en als je dat niet doet, dan wordt je bonus toegekend,' legde Creed uit.

Hoe CISO's beter kunnen samenwerken met collega-managers

Dan is er het bord.

In haar onderzoek vroeg IDC aan CISO's en hun collega-CIO's wat CISO's eigenlijk doen – bijvoorbeeld of ze zich richten op strategische architectuur, of dat het werk tactisch van aard is – en ontdekte niet onbelangrijke discrepanties in de antwoorden, wat erop wijst dat zelfs de CISO's ' De dichtstbijzijnde partners op C-niveau staan ​​niet helemaal op één lijn.

Creed herinnerde zich onlangs zo’n geval, waarin “We een aantal nieuwe 737’s bestelden. En dit zijn onze eerste e-connected vliegtuigen. [Het bestuur] heeft mij niet bij de eerdere gesprekken betrokken, en toen werd het een brandoefening dat alle nieuwe e-connected vliegtuigen cyberbeveiligingsvereisten hebben – dat, in feite, als je geen netwerkbeveiligingsplan hebt goedgekeurd en geaccepteerd met bij de FAA geregistreerd, verliest u uw luchtwaardigheidscertificaat voor die vliegtuigen. Denkt u dat het bestuur, toen ze voor het eerst begonnen te praten over deze weg van ‘we gaan de vloot uitbreiden’, van mening was dat daar mogelijk veiligheidsimplicaties aan verbonden waren?”

“Dus je moet ze opvoeden en uitleggen: daarom hebben we een plek aan tafel nodig. Aan elke strategische beslissing die voor het bedrijf wordt genomen, zijn risico's verbonden. [. . .] Hoe meer je om ons aan die tafel te laten plaatsnemen, hoe beter we het bedrijf kunnen beschermen en kunnen beoordelen waar dat risico zich al in het begin voordoet, in plaats van zodra het een brand wordt”, zei hij.

Daartoe gaf Russ Trainor, senior vice-president informatietechnologie bij de Denver Broncos, in een interview met Dark Reading een eenvoudige tip:

"Soms stuur ik nieuws over de inbreuken door naar mijn CFO: hier is hoeveel gegevens er zijn geëxfiltreerd, hier is hoeveel we denken dat het heeft gekost", zegt hij. "Die dingen hebben de neiging om thuis te raken."

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/cybersecurity-operations/ciso-role-changing-can-cisos-keep-up