A função do diretor de segurança da informação (CISO) se expandiu na última década graças à rápida transformação digital. Agora, os CISOs têm de ser muito mais orientados para os negócios, desempenhar muito mais funções e comunicar de forma eficaz com os membros do conselho, funcionários e clientes, caso contrário correm o risco de graves falhas de segurança.
Em uma ampla sessão de perguntas e respostas para a imprensa no CPX 2024 em Las Vegas, um painel de CISOs e vice-presidentes (VPs) de organizações internacionais conferenciaram sobre como a transformação digital, as pressões nos resultados financeiros e a falta de conscientização sobre segurança forçaram uma mudança na natureza do suas posições – em geral, de técnicas a profissionais e altamente sociais.
Hoje, sugeriram eles, a diferença entre um CISO eficaz – e, por extensão, uma cultura de segurança eficaz numa organização – reside tanto nas competências de comunicação mais suaves como na mitigação de vulnerabilidades e na definição de políticas. Na verdade, os líderes de segurança que prosperam com o último, mas não têm o primeiro, acabam expondo as suas organizações a grandes violações.
“Você perguntou sobre as consequências?” Dan Creed, CISO da Allegiant Travel Company, perguntou retoricamente em resposta a uma pergunta de Dark Reading. “Pergunte à SolarWinds quais são as consequências. Eles tinham uma política de senha, um estagiário não seguiu a política de senha, veja as consequências.”
Como a transformação digital transformou o CISO
“O papel do CISO mudou nos últimos 10 anos e nunca paramos para notar isso”, afirmou Frank Dickson, vice-presidente do programa para produtos de segurança cibernética da IDC, em uma coletiva de imprensa separada do CPX em 6 de março.
Anos atrás, a posição foi criada com o foco relativamente restrito no risco cibernético ao qual ainda está associada hoje. Mas expandiu-se, em primeiro lugar, graças ao alargamento da superfície de ataque corporativo. Violações típicas costumavam exigir vulnerabilidades em recursos corporativos – pense em Target, Ashley Madison e similares. Hoje em dia, especialmente desde a COVID, é e-mails, telefones e outros dispositivos dos funcionários que, em vez disso, representam o maior risco para as organizações. À medida que a responsabilidade pela segurança da informação se tornou coletiva, os CISOs foram forçados a sair dos seus silos.
Frank Dickson informando a imprensa sobre o novo relatório da IDC; Fonte: CPX
A transformação digital também transferiu a TI de seu canto isolado para a linha de negócios. Como sublinhou Dickson: “Cerca de 40% de todas as receitas do [Global] 2000 no próximo ano serão impulsionadas por produtos e serviços digitais. Então, o que isso faz é mudar a natureza da TI, de um definidor de custos para algo que está no caminho da geração de receita. E se você pensar no que isso faz, isso muda fundamentalmente o papel do CISO.” Quanto mais as empresas hoje concebem a TI como um impulsionador de negócios, mais os CISOs precisam estar integrados não apenas na prevenção e mitigação de riscos cibernéticos, mas também no aconselhamento do conselho sobre decisões de negócios e no encontro com desenvolvedores, vendedores e clientes.
As responsabilidades cada vez mais voltadas para os negócios do CISO foram refletidas em uma pesquisa da IDC revelada na CPX. Dos 847 líderes de segurança cibernética entrevistados, 10% acreditam que o trabalho mais importante de um CISO são as habilidades de liderança e de formação de equipes, e 8% acreditam que são as habilidades de gestão de negócios. A verdadeira consciência e compreensão da segurança cibernética e as habilidades de arquitetura e engenharia de TI receberam pouco mais votos, com 12% cada.
Como os CISOs podem fazer melhor com os funcionários
Não é apenas que os CISOs rede de apoio social também como empresários - eles precisam. “A consequência de não estabelecer esses relacionamentos [é] que você cria uma cultura na empresa de 'Bem, não é minha responsabilidade'. Como SolarWinds e MGM. Eles redefinem seu MFA apenas ligando para o Help Desk, embora não entendam ou percebam as consequências de não terem consciência de segurança”, explicou Creed.
A sutileza do argumento de Creed – ecoado por outros na mesa redonda – é importante. Prevenir falhas de segurança por parte dos funcionários não é simplesmente uma questão de consciencialização, enfatizam eles, porque mesmo funcionários experientes ignoram a segurança quando a sua relação com a sua equipa de segurança não é saudável, ou quando a higiene exige demasiado esforço.
“[Eles dizem] que a segurança deveria ser ocultada. Vou um passo além: a segurança deve lubrificar os negócios e torná-los mais rápidos”, disse Pete Nicoletti, CISO de campo da Check Point, ecoando a filosofia evoluída do CISO moderno. Ele oferece VPNs como um exemplo de onde CISOs limitados e antiquados tradicionalmente desaceleraram os negócios. “Por quanto tempo isso retém meu e-mail: dois segundos ou 10 segundos? Quanto tempo leva para a VPN se inscrever? Os [funcionários] vão contornar isso porque leva 22 segundos e autenticação? [Trata-se] de tentar torná-los o mais transparentes e fáceis de usar possível. Comece a escolher ferramentas que realmente acelerem o processo, para que agora você tenha uma vantagem competitiva.”
“Algumas das minhas primeiras iniciativas que estou conduzindo são exatamente isso”, afirmou Creed. “Vamos nos afastar da VPN e chegar a um ambiente sempre ligado, onde com seu laptop, você o liga, está ligado e conectado à nossa rede, voltando pela nossa pilha de segurança. O próximo objetivo é que agora estamos estabelecendo as bases para migrar para a tecnologia sem senha.”
Se conversar com os funcionários e facilitar a segurança para eles não for suficiente, os CISOs também podem experimentar incentivos alternativos. “Na verdade, temos métricas de KPI em torno da cultura de segurança. E estamos nos preparando para o ponto em que começaremos a realmente impactar os conjuntos de bônus, de modo que, se o seu departamento se sair melhor, ele aumentará seu conjunto de bônus acima da norma [. . .] e se não o fizer, então atingirá o seu bônus”, explicou Creed.
Como os CISOs podem colaborar melhor com colegas executivos
Depois, há o conselho.
Na sua pesquisa, a IDC perguntou aos CISOs e aos seus colegas CIOs o que os CISOs realmente fazem — por exemplo, se estão focados na arquitetura estratégica ou se o trabalho é tático por natureza — e encontrou discrepâncias não insignificantes nas respostas, indicando que mesmo os CISOs 'Os parceiros de nível C mais próximos não estão totalmente na mesma página.
Creed relembrou um desses casos recentemente, em que “encomendamos alguns 737 novos. E estas são as nossas primeiras aeronaves conectadas eletronicamente. [O conselho] não me incluiu nas conversas anteriores, e então tornou-se um exercício de simulação de que todas as novas aeronaves conectadas eletronicamente têm requisitos de segurança cibernética - isso, na verdade, se você não tiver um plano de segurança de rede aprovado e aceito com registrado pela FAA, você perderá a certificação de aeronavegabilidade dessas aeronaves. Você acha que o conselho, quando começou a falar em seguir esse caminho de ‘vamos expandir a frota’, considerou que isso poderia ter implicações de segurança?”
“Então é preciso educá-los e explicar-lhes: é por isso que precisamos de um lugar à mesa. Em cada decisão estratégica tomada para o negócio, há riscos envolvidos. [. . .] Quanto mais você inclua-nos em um assento naquela mesa, melhor poderemos proteger o negócio e avaliar onde está o risco no início, e não quando se torna um incêndio”, disse ele.
Para tanto, em entrevista ao Dark Reading, Russ Trainor, vice-presidente sênior de tecnologia da informação do Denver Broncos, deu uma dica simples:
“Às vezes, encaminho notícias das violações ao meu CFO: veja quantos dados foram exfiltrados, veja quanto achamos que custou”, diz ele. “Essas coisas tendem a acertar em cheio.”
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.darkreading.com/cybersecurity-operations/ciso-role-changing-can-cisos-keep-up
- :tem
- :é
- :não
- :onde
- $UP
- 10
- 2000
- 2024
- 22
- 7
- a
- Sobre
- acima
- aceito
- real
- Vantagem
- aconselhando
- atrás
- aeronave
- muito parecido
- Todos os Produtos
- tb
- alternativa
- an
- e
- aprovou
- arquitetura
- SOMOS
- argumento
- por aí
- AS
- perguntar
- associado
- At
- ataque
- Autenticação
- consciência
- longe
- em caminho duplo
- BE
- passou a ser
- Porque
- tornam-se
- torna-se
- sido
- ser
- Acreditar
- Melhor
- entre
- borda
- Bônus
- Inferior
- violações
- Briefing
- negócio
- mas a
- by
- chamada
- CAN
- casas
- FDA
- cfo
- alterar
- mudado
- Alterações
- mudança
- verificar
- chefe
- diretor de segurança da informação
- CISO
- colaborar
- Collective
- comunicar
- Comunicação
- Empresas
- Empresa
- competitivo
- Conferência
- conferido
- conectado
- conseqüência
- Consequências
- considerado
- conversas
- Canto
- Responsabilidade
- Custo
- Covid
- criado
- Cultura
- Clientes
- cibernético
- Cíber segurança
- Escuro
- Leitura escura
- dados,
- década
- decisão
- decisões
- definição
- Denver
- Departamento
- escrivaninha
- desenvolvedores
- DID
- didn
- diferença
- digital
- Transformação Digital
- do
- parece
- don
- duplo
- down
- dirigido
- motorista
- condução
- Mais cedo
- mais cedo
- mais fácil
- fácil
- ecoou
- educar
- Eficaz
- efetivamente
- outro
- e-mails
- enfatizar
- colaboradores
- final
- Engenharia
- suficiente
- estabelecendo
- Mesmo
- Cada
- evoluiu
- exatamente
- exemplo
- executivos
- Expandir
- expandido
- experimentar
- Explicação
- explicado
- extensão
- FAA
- fato
- falhas
- longe
- mais rápido
- companheiro
- campo
- Envie o
- Fogo
- demitido
- Primeiro nome
- ANIMARIS
- Foco
- focado
- seguir
- Escolha
- forçado
- Antigo
- para a frente
- encontrado
- Foundation
- franco
- da
- fundamentalmente
- mais distante
- gerando
- ter
- obtendo
- Global
- vai
- maior
- tinha
- Ter
- ter
- he
- saudável
- ajudar
- SUA PARTICIPAÇÃO FAZ A DIFERENÇA
- oculto
- altamente
- Acertar
- acessos
- segurar
- Início
- Como funciona o dobrador de carta de canal
- HTTPS
- i
- IDC
- if
- ignorar
- imagem
- impactando
- implicações
- importante
- in
- incentivos
- incluir
- Aumenta
- cada vez mais
- indicador
- INFORMAÇÕES
- segurança da informação
- tecnologia da informação
- iniciativas
- insignificante
- em vez disso
- integrado
- Internacionais
- Entrevista
- para dentro
- envolvido
- isn
- IT
- ESTÁ
- Trabalho
- apenas por
- Guarda
- Falta
- laptop
- LAS
- Las Vegas
- deitado
- líderes
- Liderança
- deixar
- como
- Limitado
- Line
- ll
- longo
- olhar
- perder
- moldadas
- principal
- fazer
- Fazendo
- de grupos
- muitos
- Março
- Importância
- me
- Membros
- apenas
- Métrica
- MFA
- poder
- mitigando
- EQUIPAMENTOS
- mais
- a maioria
- mover
- movido
- muito
- my
- estreito
- Natureza
- você merece...
- rede
- Rede de Segurança
- nunca
- Novo
- notícias
- Próximo
- Perceber..
- agora
- objetivo
- of
- oferecido
- Oferece
- Oficial
- on
- uma vez
- ONE
- começo
- or
- organização
- organizações
- Outros
- Outros
- A Nossa
- Fora
- Acima de
- página
- painel
- particularmente
- Parceiros
- Senha
- passado
- caminho
- filosofia
- telefones
- colheita
- plano
- platão
- Inteligência de Dados Platão
- PlatãoData
- ponto
- políticas
- Privacidade
- piscina
- Piscinas
- posição
- possível
- presidente
- Presidentes
- imprensa
- pressões
- impedindo
- processo
- Produtos
- Agenda
- proteger
- Dúvidas
- questão
- rápido
- em vez
- RE
- Leitura
- pronto
- perceber
- clientes
- recebido
- recentemente
- refletida
- relacionamento
- Relacionamentos
- relativamente
- Denunciar
- representar
- requerer
- Requisitos
- Recursos
- resposta
- respostas
- responsabilidades
- responsabilidade
- Revelado
- receita
- Risco
- riscos
- Tipo
- s
- Dito
- Vendedores
- mesmo
- dizer
- diz
- segundo
- segurança
- Consciência de segurança
- senior
- separado
- grave
- Serviços
- mudança
- rede de apoio social
- assinatura
- siled
- silos
- simples
- simplesmente
- desde
- Habilidades
- So
- Redes Sociais
- SolarWinds
- alguns
- algo
- às vezes
- fonte
- velocidade
- Espalhando
- pilha
- começo
- começado
- estabelecido
- Passo
- Ainda
- parou
- direto
- Estratégico
- tal
- superfície
- Vistorias
- mesa
- Tire
- toma
- falando
- Target
- Profissionais
- Dados Técnicos:
- Tecnologia
- Tender
- do que
- obrigado
- que
- A
- A linha
- deles
- Eles
- si mesmos
- então
- Lá.
- Este
- deles
- coisas
- think
- isto
- aqueles
- Apesar?
- Prosperar
- Através da
- tipo
- para
- hoje
- também
- ferramentas
- TOTALMENTE
- tradicionalmente
- Transformação
- transformado
- transparente
- viagens
- tentando
- VIRAR
- dois
- típico
- compreender
- compreensão
- us
- usar
- usava
- VEGAS
- vício
- Vice-Presidente
- votos
- VPN
- VPNs
- vulnerabilidades
- foi
- we
- desgaste
- pesar
- BEM
- foram
- O Quê
- quando
- se
- QUEM
- porque
- de
- Atividades:
- ano
- anos
- Vocês
- investimentos
- zefirnet