Pe măsură ce securitatea cibernetică a devenit un aspect din ce în ce mai important în luarea deciziilor corporative, a existat o mișcare corespunzătoare pentru a ridica rolul responsabilului șef de securitate a informațiilor (CISO) la un punct mai înalt în ierarhia executivă. Raționamentul pare să fie: „Dacă cibernetica este importantă, CISO trebuie să fie importanți”. Cu toate acestea, ridicarea rolului îl face pe CISO să fie o voce singură în deșert care strigă „securitate”, cu puțină legătură cu factorii de decizie de zi cu zi în IT, inginerie sau produse.
Acest lucru a dus la unele consecințe nedorite, cum ar fi directorul Facebook care a considerat că este în regulă ca măsurile de securitate ale companiei a provocat întârzieri de câteva ore în răspunsul la întreruperea sa din 4 octombrie 2021 sau directorul Uber care a plătit hackerii care și-a încălcat sistemul, mai degrabă decât să recunoască încălcarea, sau numeroșii CISO care au investit în „straturi suplimentare de securitate” în loc să admită că au făcut selecții proaste inițial. În toate aceste cazuri, izolarea CISO de unitățile funcționale de afaceri a jucat, fără îndoială, un rol în tunelul gândirii reflectate de aceste decizii.
Impact organizațional
Poate că este timpul să reimaginam rolul CISO. Poate că este mai bine să vedem importanța CISO reflectată în impactul organizațional, mai degrabă decât în statutul organizațional. Poate că încorporarea securității în unitățile funcționale va avea ca rezultat o securitate mai bună.
Imaginează-ți CISO ca parte a ecosistemului organizației IT. Aceștia ar fi implicați în fiecare decizie cu privire la infrastructură, iar preocupările de securitate ar fi parte integrantă a acestor decizii, mai degrabă decât abordate după fapt. Acest lucru ar permite un set de soluții de „securitate” bazate pe modul în care este structurată și gestionată rețeaua, mai degrabă decât pe capacități speciale de securitate introduse în infrastructură de către un grup extern.
Imaginați-vă un expert în securitate încorporat în organizația de dezvoltare software. Aceștia ar putea să rafineze procesul de dezvoltare pentru a se asigura că codul este scris și testat cu un ochi de securitate, fără a încărca dezvoltatorii cu procese care le sunt străine, reducând astfel vulnerabilitățile din codul companiei. Imaginați-vă un expert în securitate încorporat în liniile de produse. Ei ar putea să se asigure că infrastructura corporativă își protejează IP-ul și că procesul lor de dezvoltare reduce vulnerabilitățile produsului lor.
În toate aceste cazuri, securitatea devine un factor în deciziile corporative bazate pe realitatea operațiunilor corporative. Expertiza tehnică a CISO devine parte integrantă a muncii de zi cu zi, mai degrabă decât o constrângere impusă acestuia. În mod similar, securitatea și conformitatea trebuie să funcționeze fără probleme, astfel încât sistemele financiare și comunicațiile cu partenerii și furnizorii să rămână sigure. Acest lucru se extinde la sistemele de telecomunicații și alte componente hardware.
Factorul de risc
Aceasta pare o modalitate mai eficientă de a face din dimensiunea tehnică a securității o voce puternică în execuția companiei. Cu toate acestea, ne putem întreba dacă acest lucru va diminua dimensiunea politicii, balcanizând-o pentru a aborda interesele speciale ale unităților funcționale individuale. Această preocupare poate fi abordată prin extinderea rolului directorului de risc pentru a include funcțiile de politică de securitate desfășurate în prezent de CISO.
Acest lucru are avantajul de a menține politica de securitate la nivelul C, unde primește atenția de care are nevoie. Are avantajul suplimentar de a lua în considerare riscul de securitate cibernetică în contextul altor riscuri (risc pentru disponibilitate, risc pentru reputație, pentru a aborda cazurile de mai sus). Securitatea nu ar mai fi un scop în sine, ci o dimensiune a afacerilor. Acest lucru nu înseamnă că securitatea trebuie să se lupte cu alte preocupări și să facă acomodari care compromit postura de securitate a organizației. Mai degrabă, creează un mediu care schimbă mentalitatea fie/sau cu unul care încearcă să satisfacă toate cerințele.
Există numeroase tehnologii de control al accesului care ar fi protejat Facebook în mod eficient fără a-și bloca propriul personal. Atunci când riscul de securitate este luat în considerare împreună cu riscul de disponibilitate, ar apărea acele soluții mai pragmatice.
- blockchain
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Lectură întunecată
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- VPN
- securitatea site-ului
