Rolul CISO se schimbă. Pot CISO-ii înșiși să țină pasul?

Rolul CISO se schimbă. Pot CISO-ii înșiși să țină pasul?

Marca temporală: 11 martie 2024, ora 5:34

Rolul de Chief Information Security Officer (CISO) s-a extins în ultimul deceniu datorită transformării digitale rapide. Acum CISO trebuie să fie mult mai orientați spre afaceri, să poarte mult mai multe pălării și să comunice eficient cu membrii consiliului de administrație, angajații și clienții deopotrivă, altfel riscă erori grave de securitate.

Într-o gamă largă de întrebări și răspunsuri de presă la CPX 2024 din Las Vegas, un grup de CISO și vicepreședinți (VP) ai organizațiilor internaționale au discutat despre modul în care transformarea digitală, presiunile financiare și lipsa de conștientizare a securității au forțat o schimbare în natura pozițiile lor – în linii mari, de la tehnic la cel de afaceri și extrem de social.

Astăzi, au sugerat ei, diferența dintre un CISO eficient - și, prin extensie, o cultură de securitate eficientă la o organizație - este atât de mult despre abilități de comunicare mai blânde, cât și despre atenuarea vulnerabilităților și definirea politicilor. De fapt, liderii de securitate care prosperă cu cei din urmă, dar lipsesc de primul ajung să-și expună organizațiile la încălcări majore.

— Ai întrebat despre consecințe? Dan Creed, CISO la Allegiant Travel Company, a întrebat retoric ca răspuns la o întrebare de la Dark Reading. „Întrebați SolarWinds care sunt consecințele. Au avut o politică de parole, un stagiar nu a respectat politica de parole, uită-te la consecințe.”

Cum transformarea digitală a transformat CISO

„Rolul CISO s-a schimbat în ultimii 10 ani și nu ne-am oprit niciodată să-l observăm”, a declarat Frank Dickson, vicepreședinte de program pentru produse de securitate cibernetică la IDC, într-o conferință de presă separată a CPX din 6 martie.

Cu ani în urmă, poziția a fost creată cu concentrarea relativ îngustă a riscului cibernetic cu care este asociată și astăzi. Dar s-a extins, în primul rând datorită lărgirii suprafeței de atac corporative. Încălcările tipice au necesitat vulnerabilități în resursele corporative - gândiți-vă Target, Ashley Madison și altele asemenea. În zilele noastre, mai ales după COVID, este e-mailurile, telefoanele și alte dispozitive ale angajaților care reprezintă în schimb cel mai mare risc pentru organizații. Pe măsură ce responsabilitatea securității informațiilor a devenit una colectivă, CISO au fost forțați să iasă din silozurile lor.

Frank Dickson informează presa despre noul raport IDC

Frank Dickson informează presa despre noul raport IDC; Sursa: CPX

Transformarea digitală a mutat și IT-ul din colțul său sigilat, direct în linia de afaceri. După cum a subliniat Dickson, „Aproximativ 40% din toate veniturile pentru [Global] 2000 anul viitor vor fi conduse de produse și servicii digitale. Deci, ceea ce face este să schimbe natura IT-ului de la un stabilitor de costuri, la ceva care este pe cale de a genera venituri. Și dacă te gândești la ce înseamnă asta, asta schimbă fundamental rolul CISO.” Cu cât companiile concep astăzi IT-ul ca un motor de afaceri, cu atât mai mulți CISO trebuie să fie integrați nu doar în prevenirea și atenuarea riscurilor cibernetice, ci și pentru consilierea consiliului de administrație cu privire la deciziile de afaceri și întâlnirea cu dezvoltatorii, agenții de vânzări și clienții.

Responsabilitățile din ce în ce mai mult orientate spre afaceri ale CISO au fost reflectate într-un sondaj IDC dezvăluit la CPX. Din 847 de lideri în domeniul securității cibernetice intervievați, 10% cred că cea mai importantă slujbă a unui CISO este abilitățile de conducere și formarea echipelor, iar 8% cred că este vorba despre abilitățile de management al afacerilor. Conștientizarea și înțelegerea reală a securității cibernetice, precum și abilitățile de arhitectură și inginerie IT, au primit cu greu mai multe voturi la 12% fiecare.

Cum CISO pot face mai bine de către angajați

Nu este vorba doar despre CISO dublează ca oameni de afaceri — au nevoie. „Consecința de a nu stabili acele relații [este] că obții o cultură în compania „Ei bine, nu este responsabilitatea mea”. Ca SolarWinds și MGM. Își reseta MFA doar printr-un apel la biroul de asistență, deși nu înțeleg sau nu își dau seama care sunt consecințele lipsei de conștientizare a securității”, a explicat Creed.

Subtilitatea argumentului lui Creed – repetată de alții la masa rotundă – este importantă. Prevenirea deficiențelor de securitate de către angajați nu este doar o chestiune de răspândire a conștientizării, subliniază ei, deoarece chiar și angajații cunoscători ignoră securitatea atunci când relația lor cu echipa lor de securitate nu este sănătoasă sau când igiena este pur și simplu prea dificilă.

„[Spun că] securitatea ar trebui să fie ascunsă. Fac un pas mai departe: securitatea ar trebui să lubrifieze afacerile și să o facă mai rapidă”, a declarat Pete Nicoletti, Field CISO la Check Point, reluând filozofia evoluată a CISO modern. El oferă VPN-uri ca exemplu în cazul în care CISO limitati și de modă veche au încetinit în mod tradițional afacerile. „Cât timp îmi păstrează e-mailul: două secunde sau 10 secunde? Cât durează VPN pentru a vă înscrie? [Angajații] vor rezolva problema pentru că durează 22 de secunde și autentificare? [Este vorba de] încercarea de a le face cât mai transparente și ușor de utilizat posibil. Începeți să alegeți instrumente care accelerează procesul, astfel încât acum aveți un avantaj competitiv.”

„Unele dintre primele mele inițiative pe care le conduc sunt exact asta”, a secundat Creed. „Să ne îndepărtăm de VPN și să ajungem la un laptop mereu pornit, în care, cu laptopul, îl pornești, ești aprins și ești conectat la rețeaua noastră, revenind prin stiva noastră de securitate. Următorul obiectiv este că acum punem bazele pentru a trece la fără parolă.”

Dacă nu este suficient să discutați cu angajații și să le ușurăm securitatea, CISO pot experimenta și stimulente alternative. „Avem de fapt indicatori KPI în jurul culturii de securitate. Și ne pregătim până în punctul în care vom începe să influențăm efectiv fondurile de bonusuri, astfel încât, dacă departamentul dvs. se descurcă mai bine, acesta vă crește fondul de bonus peste norma [. . .] și dacă nu, atunci îți atinge bonusul”, a explicat Creed.

Cum CISO pot colabora mai bine cu colegii executivi

Apoi este tabla.

În sondajul său, IDC a întrebat CISO și colegii lor CIO ce fac de fapt CISO - cum ar fi dacă sunt concentrați pe arhitectura strategică sau dacă jobul este tactic prin natură - și a găsit discrepanțe nu nesemnificative în răspunsuri, indicând că chiar și CISO cei mai apropiați parteneri de nivel C nu sunt complet pe aceeași pagină.

Creed și-a amintit recent un astfel de caz, în care „Am comandat niște 737 noi. Și acestea sunt primele noastre aeronave conectate electronic. [Consiliul] nu m-a inclus în conversațiile anterioare, iar apoi a devenit un exercițiu de incendiu că toate aeronavele noi conectate electronic au cerințe de securitate cibernetică - asta, de fapt, dacă nu aveți un plan de securitate a rețelei aprobat și acceptat cu FAA din dosar, vă pierdeți certificarea de navigabilitate pentru acele aeronave. Credeți că consiliul de administrație, când au început să vorbească pentru a merge pe această cale de „vom extinde flota”, a considerat că ar putea exista implicații de securitate în asta?”

„Deci trebuie să-i educi și să le explici: de aceea avem nevoie de un loc la masă. În fiecare decizie strategică luată pentru afacere, există riscuri implicate. [. . .] Cu cât tu include-ne la un loc la masa aceea, cu atât mai bine putem proteja afacerea și putem evalua unde riscul este la început, mai degrabă decât odată ce devine un incendiu”, a spus el.

În acest scop, într-un interviu pentru Dark Reading, Russ Trainor, vicepreședinte senior al tehnologiei informației la Denver Broncos, a oferit un sfat simplu:

„Uneori, voi transmite știrile despre încălcări către directorul financiar al meu: iată câte date au fost exfiltrate, iată cât credem că a costat”, spune el. „Aceste lucruri tind să ajungă acasă.”

Timestamp-ul:

Mai mult de la Lectură întunecată