Niedawne skazanie Joe Sullivana, dyrektora ds. bezpieczeństwa informacji w firmie Uber (CISO), za niezgłoszenie naruszenia danych firmy w 2016 r., było dla niektórych niepożądaną niespodzianką, a dla innych uzasadnioną konsekwencją działań pana Sullivana.
Jako współpracownik CISO i lider ds. bezpieczeństwa informacji od ponad 30 lat szanuję wybitną karierę Sullivana i jednocześnie w pełni popieram werdykt. Sullivan znalazł się w etycznym dylemacie, przed którym prędzej czy później staje większość CISO. Sposób, w jaki CISO zdecyduje się poradzić sobie z tym dylematem, może zrujnować lub zrujnować jego karierę.
Jakie są obowiązki CISO?
Rola i obowiązki CISO stale ewoluują i są jeszcze bardziej kontrolowane dzięki rosnącemu rozgłosowi wokół dużych naruszeń, takich jak to obserwowane w Uberze.
Dla CISO zastanawiających się, co oznaczają dla nich te ostatnie wydarzenia, jest to odpowiedni moment, aby zadać trzy ważne pytania.
1) Jaka jest moja odpowiedzialność jako CISO w przypadku naruszenia ochrony danych?
Chociaż proces Ubera mógł bardziej skoncentrować się na roli CISO, nie sądzę, aby zmienił odpowiedzialność lub odpowiedzialność związaną z tą rolą. Kiedy dojdzie do naruszenia, odpowiedzialność CISO jest jasna: zachowaj przejrzystość i zapewnij wszystkie niezbędne ujawnienia. Czasami te ujawnienia są wymagane przez organy regulacyjne, a czasami są po prostu uważane za odpowiedzialne ujawnienie przez firmę jej składników.
Nie wiem, czy pierwszą reakcją Sullivana było podjęcie właściwych działań i zgłoszenie naruszenia zgodnie z wymogami prawa. Biorąc pod uwagę jego długą karierę, mam nadzieję, że tak właśnie było. To powiedziawszy, w zależności od struktury zgłaszania w firmie, wielu CISO może nie mieć ostatecznego głosu w sprawie ujawnienia naruszenia przez firmę. Jak to często bywa, CISO może zostać uchylony i zmuszony do znalezienia sposobu na przekształcenie naruszenia w coś innego niż naruszenie. To przeformułowanie może pomóc firmie uniknąć potencjalnych negatywnych konsekwencji, w tym kar ustawowych, kosztów działań naprawczych (na przykład świadczenia usług monitorowania kredytu klientom, których to dotyczy), oraz wpływu na zaufanie klientów i reputację firmy.
Naruszenie jest, całkiem słusznie, postrzegane jako brak ochrony przez firmę danych, które zostały naruszone. Ostatecznie można to również postrzegać jako porażkę CISO. Rodzi to odwieczne pytania: Gdzie kończy się złotówka? A kto ponosi ostateczną odpowiedzialność za naruszenie? Niezależnie od tego, przyznanie się lub ujawnienie przez firmę nie jest prostą rzeczą.
Dylemat etyczny CISO brzmi: czy zachowuję integralność mojej roli i wywiązuję się z odpowiedzialności? A może próbuję przeformułować incydent, aby moja firma nie poniosła konsekwencji?
Chciałbym myśleć, że gdybym był na miejscu Sullivana, byłbym skłonny zrezygnować ze swojego stanowiska, zamiast zdradzić uczciwość mojej roli i, szczerze mówiąc, zaufanie moich wyborców. Parafrazując prezydenta USA Harry’ego S. Trumana: „Cyberbezpieczeństwo kończy się wraz z CISO”.
2) Jaki jest plan mojej firmy na wypadek (a nie na wypadek), gdyby doszło do naruszenia?
Jako CISO dostawcy zabezpieczeń znam aż za dobrze motywację i determinację złych aktorów i państw narodowych. Rozumiem również szanse, z jakimi borykają się organizacje, które padną ofiarą ataku — organizacje muszą zakładać, że zostaną naruszone. Co zrobisz, gdy to się stanie?
Reagowanie na najgorsze scenariusze i posiadanie planu awaryjnego przed włamaniem może zminimalizować skutki finansowe i operacyjne, gdy to zrobisz. Jaki jest koszt przestoju, jeśli osoba atakująca wyłączy obsługę klienta lub działanie łańcucha dostaw? Gdzie twoje systemy są najbardziej podatne na ataki? W jaki sposób ograniczasz szkody i jak szybko możesz odzyskać siły? W jaki sposób komunikujesz swoim pracownikom, klientom i zarządowi to, co się stało?
Dyrektor generalny i inni dyrektorzy firmy muszą proaktywnie współpracować z CISO, aby odpowiedzieć na te pytania i opracować kompleksowy plan, który jest gotowy w przypadku wystąpienia naruszenia. Natychmiastowe działanie — i uczciwość — liczą się ponad wszystko. Ale taki plan odniesie sukces tylko wtedy, gdy zostanie stworzony, sprawdzony i przećwiczony z dużym wyprzedzeniem.
3) Jaka jest moja rola w zarządzie?
Najbardziej prężne firmy zobowiązują się do zapewnienia bezpieczeństwa na szczycie i prowadź go przez każdy poziom organizacji. Oznacza to ustanowienie silnej kultury bezpieczeństwa cybernetycznego z zarządem, a także z pracownikami. Wielu CISO może być zmuszonych do zmagania się z uprzedzeniami zarządów, które mówią: „nam to się nigdy nie przydarzy” lub „i tak się stanie, więc po co inwestować w cyberbezpieczeństwo”.
Zarządzaj relacją CISO jak relacją biznesową
Jednym ze sposobów, w jaki CISO mogą wzmocnić swoje relacje z zarządem, jest pełnienie funkcji pomostu między technologią a biznesem. Musimy pokazać zarządowi, że zarządzamy cyberbezpieczeństwem jako ryzykiem biznesowym i dostosowujemy się do wyników, rozwoju i innych celów biznesowych organizacji. Pamiętaj, aby używać terminów i wyników biznesowych, a nie tylko technicznych akronimów i pojęć. Pomóż odpowiedzieć na pytanie „Dlaczego powinno mnie to obchodzić?” A jeśli uda ci się uzyskać zasoby od zarządu, ważne jest, abyś sporządził raport łączący zasoby, o które prosiłeś, z wynikami biznesowymi i wynikami, które nastąpiły.
Z mojego własnego doświadczenia wynika, że aby być najbardziej skutecznym, ważne jest, aby CISO pielęgnował relacje z członkami zarządu poza regularnymi spotkaniami. Daje nam to możliwość lepszego zrozumienia, czego nasi członkowie zarządu oczekują od CISO, a także rozpoczęcia edukacji zarządu. Ostatecznie praktyka cyberbezpieczeństwa polega na zarządzaniu ryzykiem, ale prawda jest taka, że nigdy nie jesteśmy w stanie całkowicie wyeliminować ryzyka. Codzienne nagłówki nagłówków naruszeń bezpieczeństwa sprawiły, że każdy CISO znalazł się na gorącym miejscu. CISO ma trudne zadanie: musi zarządzać codzienną obroną swojej organizacji, jednocześnie tworząc plan działania na wypadek nieuchronnego ataku w przyszłości. Aby skutecznie przewodzić i rozwijać się w tej trudnej i krytycznej roli, potrzeba rzetelności i uczciwości.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
