Rola dyrektora ds. bezpieczeństwa informacji (CISO) wzrosła w ciągu ostatniej dekady dzięki szybkiej transformacji cyfrowej. Obecnie CISO muszą być znacznie bardziej zorientowani na biznes, mieć o wiele więcej obowiązków i skutecznie komunikować się zarówno z członkami zarządu, pracownikami, jak i klientami, w przeciwnym razie ryzykują poważne awarie bezpieczeństwa.
W trakcie szeroko zakrojonej dyskusji prasowej podczas konferencji CPX 2024 w Las Vegas panel złożony z CISO i wiceprezesów (wiceprezesów) organizacji międzynarodowych omawiał, w jaki sposób transformacja cyfrowa, presja na wyniki finansowe i brak świadomości bezpieczeństwa wymusiły zmianę charakteru swoje stanowiska – ogólnie rzecz biorąc, od technicznego po biznesowe i wysoce społeczne.
Obecnie, jak zasugerowali, różnica między skutecznym CISO – a co za tym idzie, skuteczną kulturą bezpieczeństwa w organizacji – polega w równym stopniu na miękkich umiejętnościach komunikacyjnych, jak i na łagodzeniu słabych punktów i określaniu zasad. W rzeczywistości liderzy bezpieczeństwa, którzy dobrze radzą sobie z tym drugim, ale brakuje im tego pierwszego, w końcu narażają swoje organizacje na poważne naruszenia.
„Pytałeś o konsekwencje?” – zapytał retorycznie Dan Creed, CISO w Allegiant Travel Company, w odpowiedzi na pytanie zadane przez Dark Reading. „Zapytaj SolarWinds, jakie są konsekwencje. Mieli politykę dotyczącą haseł, stażysta nie przestrzegał polityki dotyczącej haseł, spójrz na konsekwencje”.
Jak transformacja cyfrowa zmieniła CISO
„Rola CISO zmieniła się w ciągu ostatnich 10 lat i tak naprawdę nigdy nie przestaliśmy tego zauważać” – stwierdził Frank Dickson, wiceprezes programowy ds. produktów cyberbezpieczeństwa w IDC, na osobnej konferencji prasowej CPX 6 marca.
Wiele lat temu stanowisko to utworzono ze stosunkowo wąskim zakresem ryzyka cybernetycznego, z którym nadal jest kojarzone. Został on jednak rozszerzony, po pierwsze dzięki poszerzeniu powierzchni ataków korporacyjnych. Typowe naruszenia zwykle wymagały luk w zasobach korporacyjnych – na przykład Target, Ashley Madison i tym podobne. W dzisiejszych czasach, szczególnie od czasu Covid-19, jest to możliwe e-maile, telefony i inne urządzenia pracowników które zamiast tego stanowią największe ryzyko dla organizacji. Ponieważ odpowiedzialność za bezpieczeństwo informacji stała się zbiorowa, CISO zostali zmuszeni do opuszczenia swoich silosów.
Frank Dickson informuje prasę o nowym raporcie IDC; Źródło: CPX
Transformacja cyfrowa również przeniosła IT z odizolowanego zakątka do branży biznesowej. Jak zauważył Dickson: „Około 40% wszystkich przychodów w przyszłorocznym programie [Global] 2000 będzie pochodzić z produktów i usług cyfrowych. To powoduje zmianę charakteru IT z podmiotu ustalającego koszty na coś, co jest na dobrej drodze do generowania przychodów. A jeśli pomyślisz o tym, co to powoduje, zasadniczo zmienia to rolę CISO”. Im bardziej dzisiejsze firmy postrzegają IT jako siłę napędową biznesu, tym bardziej CISO muszą być zintegrowani nie tylko w zakresie zapobiegania zagrożeniom cybernetycznym i łagodzenia ich, ale także doradzania zarządowi w zakresie decyzji biznesowych oraz spotkań z programistami, sprzedawcami i klientami.
Coraz bardziej zorientowane na biznes obowiązki CISO znalazły odzwierciedlenie w ankiecie IDC ujawnionej podczas CPX. Spośród 847 ankietowanych liderów cyberbezpieczeństwa 10% uważa, że najważniejszym zadaniem CISO są umiejętności przywódcze i budowanie zespołu, a 8% uważa, że są to umiejętności zarządzania biznesem. Rzeczywista świadomość i zrozumienie cyberbezpieczeństwa oraz architektura IT i umiejętności inżynieryjne otrzymały niewiele więcej głosów – 12% na każdą osobę.
Jak CISO mogą działać lepiej dzięki pracownikom
Nie chodzi tylko o CISO powinien być podwójnie jak biznesmeni – muszą. „Konsekwencją nienawiązania takich relacji jest to, że w towarzystwie panuje kultura: „No cóż, to nie moja odpowiedzialność”. Podobnie jak SolarWinds i MGM. Resetują swoje MFA po prostu dzwoniąc do działu pomocy technicznej, chociaż nie rozumieją ani nie zdają sobie sprawy z konsekwencji braku świadomości bezpieczeństwa” – wyjaśnił Creed.
Subtelność argumentacji Creeda – powtórzona przez innych uczestników okrągłego stołu – jest istotna. Podkreślają, że zapobieganie naruszeniom bezpieczeństwa przez pracowników to nie tylko kwestia szerzenia świadomości, ponieważ nawet doświadczeni pracownicy ignorują bezpieczeństwo, gdy ich relacje z zespołem ds. ochrony nie są zdrowe lub gdy higiena jest po prostu zbyt wymagająca.
„[Mówią], że bezpieczeństwo powinno być ukryte. Idę o krok dalej: bezpieczeństwo powinno usprawniać działalność biznesową i przyspieszać ją” – powiedział Pete Nicoletti, terenowy CISO w Check Point, powtarzając rozwiniętą filozofię współczesnego CISO. Podaje VPN jako przykład sytuacji, w której ograniczeni, staromodni CISO tradycyjnie spowalniają działalność. „Jak długo to będzie przechowywać mój e-mail: dwie sekundy czy 10 sekund? Jak długo trwa rejestracja w VPN? Czy [pracownicy] zamierzają to obejść, ponieważ zajmuje to 22 sekundy i uwierzytelnienie? [Chodzi o] próbę uczynienia ich tak przejrzystymi i łatwymi w użyciu, jak to tylko możliwe. Zacznij wybierać narzędzia, które faktycznie przyspieszą proces do momentu, w którym będziesz mieć przewagę konkurencyjną.”
„Niektóre z moich najwcześniejszych inicjatyw, które prowadzę, właśnie na tym polegają” – dodał Creed. „Odejdźmy od VPN i przejdźmy do zawsze włączonego laptopa, włączasz go, jesteś naładowany i jesteś podłączony do naszej sieci, przechodząc z powrotem przez nasz stos zabezpieczeń. Kolejnym celem jest położenie fundamentów pod przejście na technologię bezhasłową”.
Jeśli rozmowa z pracownikami i zapewnienie im większego bezpieczeństwa nie wystarczy, CISO mogą także poeksperymentować z alternatywnymi zachętami. „Właściwie dysponujemy wskaźnikami KPI dotyczącymi kultury bezpieczeństwa. Przygotowujemy się do tego stopnia, że zaczniemy faktycznie wpływać na pule premii i jeśli Twój dział będzie sobie radził lepiej, zwiększy to Twoją pulę premii powyżej normy [. . .] a jeśli tego nie zrobisz, otrzymasz premię” – wyjaśnił Creed.
Jak CISO mogą lepiej współpracować z innymi menedżerami
Potem jest tablica.
W swojej ankiecie IDC zapytało CISO i innych CIO, czym tak naprawdę zajmują się CISO – na przykład, czy skupiają się na architekturze strategicznej, czy też ich praca ma charakter taktyczny – i stwierdziło niemałe rozbieżności w odpowiedziach, co wskazuje, że nawet CISO „najbliżsi partnerzy na poziomie C nie są całkowicie po tej samej stronie.
Creed przypomniał sobie niedawno jeden taki przypadek, w którym „Zamówiliśmy kilka nowych samolotów 737. A to nasz pierwszy samolot podłączony do sieci elektrycznej. [Zarząd] nie uwzględnił mnie we wcześniejszych rozmowach, a potem stało się ćwiczeniem przeciwpożarowym, zgodnie z którym wszystkie nowe samoloty z dostępem do Internetu mają wymagania dotyczące cyberbezpieczeństwa – które w rzeczywistości nie mają zatwierdzonego i zaakceptowanego planu bezpieczeństwa sieci FAA, utracisz certyfikat zdatności do lotu dla tego statku powietrznego. Czy sądzisz, że zarząd, kiedy po raz pierwszy zaczął mówić o podążaniu ścieżką „rozbudujemy flotę”, wziął pod uwagę, że może to mieć konsekwencje dla bezpieczeństwa?”
„Trzeba ich więc edukować i wyjaśniać: dlatego potrzebujemy miejsca przy stole. Każda strategiczna decyzja podejmowana dla firmy wiąże się z ryzykiem. [. . .] Tym bardziej zabierz nas na miejsce przy tym stoletym lepiej będziemy mogli chronić firmę i ocenić, gdzie ryzyko się pojawia, a nie kiedy zamieni się w pożar” – stwierdził.
W tym celu w wywiadzie dla Dark Reading Russ Trainor, starszy wiceprezes ds. technologii informatycznych w Denver Broncos, dał prostą wskazówkę:
„Czasami przekazuję informacje o naruszeniach mojemu dyrektorowi finansowemu: oto, ile danych zostało wyekstrahowanych, a oto, ile naszym zdaniem to kosztowało” – mówi. „Te rzeczy zwykle trafiają w sedno”.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/cybersecurity-operations/ciso-role-changing-can-cisos-keep-up
- :ma
- :Jest
- :nie
- :Gdzie
- $W GÓRĘ
- 10
- 2000
- 2024
- 22
- 7
- a
- O nas
- powyżej
- zaakceptowany
- rzeczywisty
- faktycznie
- Korzyść
- doradztwo
- temu
- samolot
- zarówno
- Wszystkie kategorie
- również
- alternatywny
- an
- i
- zatwierdzony
- architektura
- SĄ
- argument
- na około
- AS
- zapytać
- powiązany
- At
- atakować
- Uwierzytelnianie
- świadomość
- z dala
- z powrotem
- BE
- stał
- bo
- stają się
- staje się
- być
- jest
- uwierzyć
- Ulepsz Swój
- pomiędzy
- deska
- Bonus
- Dolny
- naruszenia
- Odprawa
- biznes
- ale
- by
- wezwanie
- CAN
- walizka
- Certyfikacja
- Cfo
- zmiana
- zmieniony
- Zmiany
- wymiana pieniędzy
- ZOBACZ
- szef
- dyrektor ds. bezpieczeństwa informacji
- CISO
- współpracować
- Collective
- komunikować
- Komunikacja
- Firmy
- sukcesy firma
- konkurencyjny
- Konferencja
- przyznane
- połączony
- konsekwencja
- Konsekwencje
- za
- rozmowy
- Corner
- Korporacyjny
- Koszty:
- Covidien
- stworzony
- kultura
- Klientów
- cyber
- Bezpieczeństwo cybernetyczne
- Ciemny
- Mroczne czytanie
- dane
- dekada
- decyzja
- Decyzje
- definiowanie
- Denver
- Departament
- biurko
- deweloperzy
- ZROBIŁ
- nie zrobił
- różnica
- cyfrowy
- cyfrowy Transformacja
- do
- robi
- darowizna
- Podwójna
- na dół
- napędzany
- kierowca
- jazdy
- Wcześniej
- najwcześniej
- łatwiej
- łatwo
- echo
- kształcić
- Efektywne
- faktycznie
- więcej
- e-maile
- podkreślać
- pracowników
- zakończenia
- Inżynieria
- dość
- ustanowienie
- Parzyste
- Każdy
- ewoluowały
- dokładnie
- przykład
- kierownictwo
- Rozszerzać
- rozszerzony
- eksperyment
- Wyjaśniać
- wyjaśnione
- rozbudowa
- FAA
- fakt
- Awarie
- daleko
- szybciej
- facet
- pole
- filet
- natura
- zwolniony
- i terminów, a
- FLOTA
- Skupiać
- koncentruje
- obserwuj
- W razie zamówieenia projektu
- wymuszony
- Dawny
- Naprzód
- znaleziono
- Fundacja
- szczery
- od
- zasadniczo
- dalej
- generujący
- otrzymać
- miejsce
- Globalne
- będzie
- Największym
- miał
- Have
- mający
- he
- zdrowy
- pomoc
- tutaj
- Ukryty
- wysoko
- Dobranie (Hit)
- Odsłon
- przytrzymaj
- Strona główna
- W jaki sposób
- HTTPS
- i
- IDC
- if
- ignorować
- obraz
- wpływ
- implikacje
- ważny
- in
- zachęty
- zawierać
- Zwiększenia
- coraz bardziej
- wskazując,
- Informacja
- bezpieczeństwo informacji
- technologia informacyjna
- inicjatywy
- nieistotny
- zamiast
- zintegrowany
- na świecie
- Wywiad
- najnowszych
- zaangażowany
- ISN
- IT
- JEGO
- Praca
- właśnie
- Trzymać
- Brak
- laptopa
- LAS
- Las Vegas
- nośny
- Przywódcy
- Przywództwo
- niech
- lubić
- Ograniczony
- Linia
- ll
- długo
- Popatrz
- stracić
- zrobiony
- poważny
- robić
- Dokonywanie
- i konserwacjami
- wiele
- March
- Materia
- me
- Użytkownicy
- jedynie
- Metryka
- MSZ
- może
- łagodzenie
- Nowoczesne technologie
- jeszcze
- większość
- ruch
- przeniósł
- dużo
- my
- wąski
- Natura
- Potrzebować
- sieć
- Bezpieczeństwo sieci
- nigdy
- Nowości
- aktualności
- Następny
- Zauważyć..
- już dziś
- cel
- of
- oferowany
- Oferty
- Oficer
- on
- pewnego razu
- ONE
- początek
- or
- organizacja
- organizacji
- Inne
- Pozostałe
- ludzkiej,
- na zewnątrz
- koniec
- strona
- płyta
- szczególnie
- wzmacniacz
- Hasło
- Przeszłość
- ścieżka
- filozofia
- telefony
- zbierając
- krok po kroku
- plato
- Analiza danych Platona
- PlatoDane
- punkt
- polityka
- polityka
- basen
- Baseny
- position
- możliwy
- prezydent
- Prezydenci
- naciśnij
- Ciśnienia
- zapobieganie
- wygląda tak
- Produkty
- Program
- chronić
- Q & A
- pytanie
- szybki
- raczej
- RE
- Czytający
- gotowy
- zrealizować
- naprawdę
- Odebrane
- niedawno
- odzwierciedlenie
- związek
- Relacje
- stosunkowo
- raport
- reprezentować
- wymagać
- wymagania
- Zasoby
- odpowiedź
- Odpowiedzi
- obowiązki
- odpowiedzialność
- Ujawnił
- dochód
- Ryzyko
- ryzyko
- Rola
- s
- Powiedział
- Sprzedawcy
- taki sam
- powiedzieć
- mówią
- sekund
- bezpieczeństwo
- Świadomość bezpieczeństwa
- senior
- oddzielny
- poważny
- Usługi
- przesunięcie
- powinien
- podpisywanie
- wyciszony
- Silosy
- Prosty
- po prostu
- ponieważ
- umiejętności
- So
- Obserwuj Nas
- SolarWinds
- kilka
- coś
- czasami
- Źródło
- prędkość
- Rozpościerający się
- stos
- początek
- rozpoczęty
- stwierdził,
- Ewolucja krok po kroku
- Nadal
- zatrzymany
- proste
- Strategiczny
- taki
- Powierzchnia
- Badanie
- stół
- Brać
- trwa
- rozmawiać
- cel
- zespół
- Techniczny
- Technologia
- Tendencję
- niż
- Podziękowania
- że
- Połączenia
- Linia
- ich
- Im
- sami
- następnie
- Tam.
- Te
- one
- rzeczy
- myśleć
- to
- tych
- chociaż?
- Prosperować
- Przez
- typ
- do
- już dziś
- także
- narzędzia
- CAŁKOWICIE
- tradycyjnie
- Transformacja
- przekształcony
- przezroczysty
- podróżować
- stara
- SKRĘCAĆ
- drugiej
- typowy
- zrozumieć
- zrozumienie
- us
- posługiwać się
- używany
- VEGAS
- wice
- Wiceprezes
- głosów
- VPN
- VPN
- Luki w zabezpieczeniach
- była
- we
- mieć na sobie
- ważyć
- DOBRZE
- były
- Co
- jeśli chodzi o komunikację i motywację
- czy
- KIM
- dlaczego
- w
- Praca
- rok
- lat
- You
- Twój
- zefirnet
