Ponieważ cyberbezpieczeństwo staje się coraz ważniejszym czynnikiem przy podejmowaniu decyzji w przedsiębiorstwie, podjęto odpowiednie kroki mające na celu podniesienie roli dyrektora ds. bezpieczeństwa informacji (CISO) na wyższe miejsce w hierarchii wykonawczej. Wydaje się, że rozumowanie jest następujące: „Jeśli cyberbezpieczeństwo jest ważne, CISO muszą być ważni”. Jednak podniesienie tej roli sprawia, że CISO staje się samotnym głosem na pustyni wołającym o „bezpieczeństwo”, mającym niewielkie powiązania z decydentami na co dzień w obszarach IT, inżynierii czy produktów.
Doprowadziło to do niepożądanych konsekwencji, na przykład dyrektor Facebooka uznał, że to w porządku, że środki bezpieczeństwa firmy spowodował wielogodzinne opóźnienia w odpowiedzi na awarię z 4 października 2021 r. lub dyrektor Ubera Who opłaciło hakerów którzy naruszyli jego system, zamiast przyznać się do naruszenia, lub liczni CISO, którzy zainwestowali w „dodatkowe warstwy bezpieczeństwa”, zamiast przyznać, że początkowo dokonali złego wyboru. We wszystkich tych przypadkach izolacja CISO od funkcjonalnych jednostek biznesowych niewątpliwie odegrała rolę w myśleniu tunelowym, co odzwierciedlają te decyzje.
Wpływ organizacyjny
Być może nadszedł czas, aby ponownie przemyśleć rolę CISO. Może lepiej byłoby, gdyby znaczenie CISO znalazło odzwierciedlenie w wpływie na organizację, a nie na statusie organizacji. Być może osadzenie zabezpieczeń w jednostkach funkcjonalnych zaowocuje większym bezpieczeństwem.
Wyobraź sobie CISO jako część ekosystemu organizacji IT. Byliby zaangażowani w każdą decyzję dotyczącą infrastruktury, a kwestie bezpieczeństwa byłyby integralną częścią tych decyzji, a nie dodawane po fakcie. Pozwoliłoby to na opracowanie zestawu rozwiązań „bezpieczeństwa” opartych na strukturze sieci i zarządzaniu nią, a nie na specjalnych funkcjach bezpieczeństwa wprowadzanych do infrastruktury przez grupę zewnętrzną.
Wyobraź sobie eksperta ds. bezpieczeństwa wbudowanego w organizację zajmującą się tworzeniem oprogramowania. Byliby w stanie udoskonalić proces programowania, aby mieć pewność, że kod jest pisany i testowany pod kątem bezpieczeństwa, bez obciążania programistów obcymi im procesami, zmniejszając w ten sposób luki w kodzie firmy. Wyobraź sobie eksperta ds. bezpieczeństwa wbudowanego w linie produktów. Będą mogli mieć pewność, że infrastruktura korporacyjna chroni ich własność intelektualną, a proces rozwoju redukuje luki w zabezpieczeniach ich produktów.
We wszystkich tych przypadkach bezpieczeństwo staje się czynnikiem decyzji korporacyjnych opartych na realiach funkcjonowania korporacji. Wiedza techniczna CISO staje się integralną częścią codziennej pracy, a nie narzucanym jej ograniczeniem. Podobnie bezpieczeństwo i zgodność muszą działać bezproblemowo, aby systemy finansowe oraz komunikacja z partnerami i dostawcami pozostały bezpieczne. Dotyczy to systemów telekomunikacyjnych i innego sprzętu.
Czynnik ryzyka
Wydaje się, że jest to skuteczniejszy sposób, aby techniczny wymiar bezpieczeństwa odgrywał ważną rolę w realizacji działań firmy. Można się jednak zastanawiać, czy nie zmniejszy to wymiaru polityki, bałkanizując ją w celu uwzględnienia szczególnych interesów poszczególnych jednostek funkcjonalnych. Problemowi temu można zaradzić poprzez rozszerzenie roli dyrektora ds. ryzyka na funkcje polityki bezpieczeństwa pełnione obecnie przez CISO.
Ma to tę zaletę, że utrzymuje politykę bezpieczeństwa na poziomie C, gdzie poświęca się jej potrzebną uwagę. Ma to dodatkową zaletę polegającą na rozpatrywaniu ryzyka cyberbezpieczeństwa w kontekście innych zagrożeń (ryzyka dla dostępności, ryzyka dla reputacji, w odniesieniu do powyższych przypadków). Bezpieczeństwo nie byłoby już celem samym w sobie, ale wymiarem prowadzenia biznesu. Nie oznacza to, że bezpieczeństwo musi walczyć z innymi problemami i wprowadzać udogodnienia, które zagrażają poziomowi bezpieczeństwa organizacji. Tworzy raczej środowisko, które zamienia mentalność „albo-albo” na taką, która stara się zaspokoić wszystkie wymagania.
Istnieje wiele technologii kontroli dostępu, które skutecznie chroniłyby Facebooka bez blokowania własnego personelu. Kiedy ryzyko bezpieczeństwa zostanie rozważone wraz z ryzykiem dostępności, pojawią się bardziej pragmatyczne rozwiązania.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
