CISO-rollen er i endring. Kan CISOer selv følge med?

Rollen som Chief Information Security Officer (CISO) har utvidet seg det siste tiåret takket være rask digital transformasjon. Nå må CISOer være langt mer forretningsorienterte, bruke mange flere hatter og kommunisere effektivt med både styremedlemmer, ansatte og kunder, ellers risikere alvorlige sikkerhetsfeil.

I en omfattende pressespørsmål og svar på CPX 2024 i Las Vegas, konfererte et panel av CISOer og visepresidenter (VPs) for internasjonale organisasjoner om hvordan digital transformasjon, press på bunnlinjen og mangel på sikkerhetsbevissthet har tvunget frem et skifte i naturen til deres posisjoner – bredt, fra å være teknisk til forretningsmessig og svært sosial.

I dag, foreslo de, handler forskjellen mellom en effektiv CISO – og, i forlengelsen, en effektiv sikkerhetskultur i en organisasjon – like mye om mykere kommunikasjonsferdigheter som det er å redusere sårbarheter og definere retningslinjer. Faktisk ender sikkerhetsledere som trives med sistnevnte, men mangler førstnevnte, opp med å utsette organisasjonene sine for store brudd.

"Du spurte om konsekvensene?" Dan Creed, CISO hos Allegiant Travel Company, spurte retorisk som svar på et spørsmål fra Dark Reading. «Spør SolarWinds hva konsekvensene er. De hadde en passordpolicy, en praktikant fulgte ikke passordpolitikken, se på konsekvensene."

Hvordan digital transformasjon transformerte CISO

"CISO-rollen har endret seg i løpet av de siste 10 årene, og vi har aldri stoppet for å legge merke til det," sa Frank Dickson, programdirektør for cybersikkerhetsprodukter ved IDC, i en separat CPX-pressekonferanse 6. mars.

For mange år siden ble stillingen opprettet med det relativt smale fokuset på nettrisiko som den fortsatt er forbundet med i dag. Men det er utvidet, først og fremst takket være en utvidelse av bedriftens angrepsoverflate. Typiske brudd pleide å kreve sårbarheter i bedriftens ressurser - tenk Target, Ashley Madison og lignende. I dag, spesielt siden COVID, er det ansattes e-poster, telefoner og andre enheter som i stedet representerer den største risikoen for organisasjoner. Ettersom ansvaret for informasjonssikkerhet har blitt et kollektivt ansvar, har CISO-er blitt tvunget ut av siloene sine.

Frank Dickson orienterer pressen om IDCs nye rapport; Kilde: CPX

Digital transformasjon har også flyttet IT fra sitt forseglede hjørne, rett inn i bransjen. Som Dickson påpekte, "Omtrent 40% av alle inntektene for [Global] 2000 neste år kommer til å bli drevet av digitale produkter og tjenester. Så det som gjør er å endre naturen til IT fra en kostnadssetter, til noe som er på vei til å generere inntekter. Og hvis du tenker på hva det gjør, endrer det fundamentalt rollen til CISO.» Jo mer bedrifter i dag oppfatter IT som en forretningsdriver, desto mer må CISO-er integreres i ikke bare å forebygge og redusere cyberrisiko, men også gi råd til styret om forretningsbeslutninger og møte utviklere, selgere og kunder.

Det stadig mer forretningsmessige ansvaret til CISO ble reflektert i en IDC-undersøkelse avslørt på CPX. Av 847 cybersikkerhetsledere som ble spurt, mener 10 % at den viktigste jobben til en CISO er lederskap og teambyggingsferdigheter, og 8 % mener det er ferdigheter i forretningsledelse. Faktisk cybersikkerhetsbevissthet og forståelse, og IT-arkitektur og ingeniørferdigheter, fikk knapt flere stemmer med 12 % stykket.

Hvordan CISOer kan gjøre det bedre av ansatte

Det er ikke bare de CISOene bør dobbelt som forretningsfolk - de trenger det. "Konsekvensen av å ikke etablere disse relasjonene [er] at du får en kultur i selskapet av 'Vel, det er ikke mitt ansvar.' Som SolarWinds og MGM. De tilbakestiller MFA bare ved å ringe til Help Desk, selv om de ikke forstår eller innser konsekvensene av å ikke ha sikkerhetsbevissthet,” forklarte Creed.

Subtiliteten i Creeds argumentasjon - gjentatt av andre ved rundebordet - er viktig. Å hindre ansattes sikkerhetsbrudd er ikke bare et spørsmål om å spre bevissthet, understreker de, fordi selv kunnskapsrike ansatte ignorerer sikkerhet når forholdet til sikkerhetsteamet deres ikke er sunt, eller når hygienen rett og slett er for anstrengende.

«[De sier] sikkerhet bør skjules. Jeg tar det ett skritt videre: sikkerhet bør smøre virksomheten og gjøre den raskere,” sa Pete Nicoletti, Field CISO ved Check Point, og gjenspeiler den utviklede filosofien til det moderne CISO. Han tilbyr VPN-er som et eksempel på hvor begrensede, gammeldagse CISO-er tradisjonelt har bremset virksomheten. "Hvor lenge holder det e-posten min i: to sekunder eller 10 sekunder? Hvor lang tid tar det å registrere seg for VPN? Kommer [ansatte] til å omgå det fordi det tar 22 sekunder og autentisering? [Det handler om] å prøve å gjøre disse så transparente og enkle å bruke som mulig. Begynn å velge verktøy som faktisk fremskynder prosessen, til der du nå har et konkurransefortrinn.»

"Noen av mine tidligste initiativer som jeg kjører er akkurat det," sier Creed. «La oss gå bort fra VPN, og komme til en alltid-på der du slår den på med den bærbare datamaskinen din, blir fyrt opp, og du er koblet til nettverket vårt og går tilbake gjennom sikkerhetsstakken vår. Det neste målet er at vi nå legger grunnlaget for å gå over til passordløst.»

Hvis det ikke er nok å snakke med ansatte og gjøre sikkerheten enklere for dem, kan CISOer også eksperimentere med alternative insentiver. "Vi har faktisk KPI-målinger rundt sikkerhetskultur. Og vi gjør oss klare til det punktet at vi skal begynne å faktisk påvirke bonuspuljer, hvor hvis avdelingen din gjør det bedre, øker det bonuspotten over normen [. . .] og hvis du ikke gjør det, så treffer det bonusen din,” forklarte Creed.

Hvordan CISOer kan samarbeide bedre med andre ledere

Så er det styret.

I sin undersøkelse spurte IDC CISO-er og deres andre CIO-er hva CISO-er faktisk gjør - for eksempel om de er fokusert på strategisk arkitektur, eller om jobben er taktisk av natur - og fant ikke ubetydelige avvik i svarene, noe som indikerer at selv CISO-ene ' nærmeste partnere på C-nivå er ikke helt på samme side.

Creed husket et slikt tilfelle nylig, hvor "Vi bestilte noen nye 737-er. Og dette er våre første e-tilkoblede fly. [Styret] inkluderte meg ikke i de tidligere samtalene, og da ble det en brannøvelse at alle nye e-tilkoblede fly har krav til cybersikkerhet - det faktisk hvis du ikke har en nettverkssikkerhetsplan godkjent og akseptert med FAA-registret mister du luftdyktighetssertifikatet for disse flyene. Tror du at styret, da de først begynte å snakke om å gå ned denne veien med "vi skal utvide flåten", vurderte at det kan være sikkerhetsmessige implikasjoner i det?»

"Så du må utdanne dem og forklare dem: det er derfor vi trenger en plass ved bordet. I enhver strategisk beslutning som tas for virksomheten, er det risiko involvert. [. . .] Jo mer du inkludere oss på en plass ved det bordet, jo bedre kan vi beskytte virksomheten og vurdere hvor risikoen er ved utbruddet i stedet for en gang det blir en brann,» sa han.

For det formål, i et intervju med Dark Reading, ga Russ Trainor, senior visepresident for informasjonsteknologi ved Denver Broncos, et enkelt tips:

"Noen ganger vil jeg videresende nyheter om bruddene til finansdirektøren min: her er hvor mye data som ble eksfiltrert, her er hvor mye vi tror det kostet," sier han. "De tingene har en tendens til å treffe hjemme."

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.darkreading.com/cybersecurity-operations/ciso-role-changing-can-cisos-keep-up