The New CISO: Rethinking the Role

The New CISO: Rethinking the Role

Tidsstempel: 19. mars 2024 10:00
The New CISO: Rethinking the Role PlatoBlockchain Data Intelligence. Vertikalt søk. Ai.

KOMMENTAR

Bedrifter anerkjenner viktigheten av cybersikkerhet og innlemmer det i økende grad som en ressurs i sine operasjonelle strategier. Men ved å blande sikkerhet og drift kan organisasjoner utvanne kjerneoppdraget til Chief Information Security Officer (CISO): å beskytte eiendelene til selskapet mot uønskede angrep. 

Rollen til CISO dateres tilbake til 1990-tallet var mer teknisk og IT-fokusert. Sikkerheten var svart-hvitt og avdelingene forsøkte å eliminere alt som ble ansett som en risiko. I løpet av de siste 20 årene har imidlertid jobben endret seg. CISOer står overfor flere risikoer enn det som kan løses, forventes å balansere sikkerhet med operasjonell kapasitet, og må overbevise ledere om å investere i beskyttelse.

I dag forventes det også at CISOer tar hensyn til forretningsbehov mens de fortsatt er ansvarlige for brudd. På nettverksarrangementer ser jeg flere og flere CISOer med forretningsbakgrunn som fokuserer mindre på cyberaspektene ved jobben og mer på å støtte forretningsprioriteringer. 

Denne overgangen kan etterlate bedrifter i en prekær posisjon. Avslappende cybersikkerhetsarbeid for hastighetens skyld truer ikke bare sikkerheten til selskapets data, men skaper også unødvendig risiko. Og det er ikke ubetydelig. I følge IBMs «Cost of a Data Breach Report 2023» gjennomsnittskostnaden for et datainnbrudd i 2023 var 4.45 millioner dollar, en økning på 15 % over tre år. 

I 2024 må vi revurdere rollen til CISO igjen. Dagens CISO må hjelpe organisasjonen deres å forstå at prioritering av risikoreduksjon er nøkkelen til virksomhetens motstandskraft i møte med moderne trusler.

Dagens CISO: Den motstandsdyktige politikeren

CISO-er var en gang i stand til å selge sin betydning basert på ideen om at himmelen falt i cybertermer. Men da forretnings- og sikkerhetssidene til selskaper slo seg sammen, kom bedriftens ansvarlighet inn i bildet. CISOs fokus skiftet fra risikounngåelse til risikostilling og vurdering av hvilket nivå som er akseptabelt i jakten på forretningsmål. 

I mange tilfeller har forretningsenheter som genererer inntekter nå det siste ordet om akkurat hvilket risikonivå som er akseptabelt, inkludert cyberrisiko. I mellomtiden ønsker ikke bedriftsledere, som har blitt mer kjent med cybersikkerhet, lenger å høre at himmelen faller. I stedet ønsker de at CISOs fokus forblir på vekst og lønnsomhet samtidig som de beskytter bedriften mot nettangrep. Med spredningen av løsepengevare, må CISOer ikke bare forhindre, oppdage og utbedre sikkerhetsrisikoer, men må nå vurdere hvor motstandsdyktige systemene er mot nettangrep som kan sette selskapet ut av drift. CISOer må også fokusere på hvor raskt selskapet kan komme seg etter en cyberhendelse. 

Den gode nyheten for CISO-er er at mange av disse rollene har blitt hevet til en ekte C-nivå posisjon. Den dårlige nyheten er at deres rolle først og fremst er en rådgivende rolle, sekundær til hva ledere ser på som akseptabel risiko. Tatt i betraktning det økende presset fra Securities and Exchange Commission (SEC) og Department of Justice mht CISO-ansvar i kjølvannet av et nettangrep, er denne posisjonen raskt i ferd med å bli uholdbar.

Den neste fasen for CISOer

For å lykkes i dag, må CISOer utvikle nye ferdigheter samtidig som de opprettholder sterke grunnprinsipper. Her er hvordan dette kan gjøres. 

  • Lær hvordan du snakker med styret. CISOer må være forhandlere. De må argumentere for sterkere sikkerhet og overbevise styrer og forretningsenheter om risikoen i termer de forstår. Hvordan en CISO gjør dette kan variere, avhengig av om styremedlemmenes erfaring er innen teknologi eller virksomhet. Det kan være nyttig å gi en demonstrasjon som setter den tekniske risikoen inn i et forretningsperspektiv. CISOer bør også snakke med andre ledere på C-nivå - så vel som CISOer fra andre bransjer - for å få forhåndsinnkjøp og forskjellige perspektiver på lignende samtaler de har med styrene sine. 

  • Bli komfortabel med grått. CISOer må være komfortable med å utvikle en risikobasert tilnærming med fokus på viktigheten av motstandskraft, fordi angripere vil komme inn. Å utvikle en testet plan for å reagere på angrep er like viktig som å implementere forebyggende tiltak. Og husk alltid at du ikke kan gi absolutt sikkerhet ... det balanserer risikoen med kostnadene.

  • Legg vekt på grunnleggende. CISOer bør bygge et dypt teknisk team som kan fokusere på nøkkelsikkerhetspraksis. De bør kjøre bordøvelser på scenarier som systemavslutning eller manglende evne til å koble til Internett. CISOer må ikke stole på antakelser om hvordan de skal reagere; Det er viktig å gå gjennom og teste alle responsplaner. 

  • Vær gjennomtenkt om teknologi. Sikkerhetsteam i dag har for mye informasjon å gå gjennom. Det er viktig å konsolidere data og investere i automatisering. I en tidligere rolle oppdaget jeg at teamet mitt brukte en tredjedel av tiden sin på å samle data og lage rapporter. Det er ikke en god bruk av noens tid. Automatisering kan hjelpe. Dette vil også berike teamets karrierer ved å kunne fokusere på sikkerhet og ikke administrative funksjoner.

  • Dokumenter alt. Når en skadelig hendelse skjer, legges skylden ofte på CISOs føtter. De siste årene har CISOer ved store selskaper blitt gitt slipp, kalt til å vitne i retten, og i noen tilfeller, ladet med forbrytelser. CISOer bør utvikle en responsplan for nettangrep, dokumentere hvert trinn og følge den strengt. Å gjøre det kan kanskje ikke redde CISOs jobb, men det kan holde dem utenfor retten. 

En ny CISO for et nytt trussellandskap

De bedriftens IT-landskap har endret seg betydelig i løpet av de siste 40 årene, blitt stadig mer spredt, skybasert og sentral for å drive virksomhet. Det samme har cybertrussellandskapet, med brudd nå ansett som uunngåelig. Med så mye endring er det urealistisk at CISO i dag skal fungere på samme måte som tidligere tiår. I dette nye miljøet, CISOer må redefinere hvordan de balanserer cyberresiliens og operasjonelle krav, samhandle med seniorledere og styret, og levere team og teknisk ledelse.

Tidstempel:

Mer fra Mørk lesning