Новый директор по информационной безопасности: переосмысление роли

Новый директор по информационной безопасности: переосмысление роли

Отметка времени: 19 марта 2024 г., 10:00
Новый директор по информационной безопасности: переосмысление роли PlatoBlockchain Data Intelligence. Вертикальный поиск. Ай.

КОММЕНТАРИЙ

Компании осознают важность кибербезопасности и все чаще включают ее в качестве актива в свои операционные стратегии. Но смешивая безопасность и операции, организации могут размывать основную миссию директора по информационной безопасности (CISO): защищать активы компании от нежелательных атак. 

Начиная с 1990-х годов роль директора по информационной безопасности была более технической и ориентированной на ИТ. Безопасность была черно-белой, и департаменты стремились устранить все, что считалось риском. Однако за последние 20 лет работа изменилась. Директора по информационной безопасности сталкиваются с большим количеством рисков, чем можно решить, от них ожидается, что они будут балансировать между безопасностью и оперативными возможностями и должны убедить лидеров инвестировать в защиту.

Сегодня от директоров по информационной безопасности также ожидается, что они будут подчиняться потребностям бизнеса, продолжая при этом нести ответственность за нарушения. На сетевых мероприятиях я вижу все больше и больше директоров по информационной безопасности с бизнес-опытом, которые меньше сосредотачиваются на кибераспектах работы, а больше на поддержке бизнес-приоритетов. 

Этот переход может поставить компании в шаткое положение. Ослабление мер кибербезопасности ради скорости не только угрожает безопасности данных компании, но и создает ненужный риск. И это немаловажно. В соответствии с Отчет IBM «Цена утечки данных в 2023 году» средняя стоимость утечки данных в 2023 году составила 4.45 миллиона долларов, что на 15% больше, чем за три года. 

В 2024 году нам необходимо еще раз переосмыслить роль директора по информационной безопасности. Сегодняшний директор по информационной безопасности должен помочь своей организации понять, что приоритизация снижения рисков является ключом к устойчивости бизнеса перед лицом современных угроз.

Сегодняшний директор по информационной безопасности: устойчивый политик

Когда-то директора по информационной безопасности умели продавать свою значимость, основываясь на идее, что с точки зрения кибербезопасности небо рушится. Но по мере слияния бизнеса и безопасности компаний, на первый план вышла корпоративная подотчетность. Фокус директоров по информационной безопасности сместился с предотвращения рисков на управление рисками и рассмотрение того, какой уровень является приемлемым для достижения бизнес-целей. 

Во многих случаях последнее слово в отношении того, какой уровень риска является приемлемым, включая киберриск, теперь остается за бизнес-подразделениями, которые приносят доход. Между тем, лидеры бизнеса, которые стали лучше разбираться в кибербезопасности, больше не хотят слышать о том, что небо рушится. Вместо этого они хотят, чтобы директор по информационной безопасности сосредоточил внимание на росте и прибыльности, одновременно защищая предприятие от кибератак. В условиях распространения программ-вымогателей директора по информационной безопасности должны не только предотвращать, обнаруживать и устранять угрозы безопасности, но теперь должны учитывать, насколько устойчивы системы к кибератакам, которые могут вывести компанию из бизнеса. Директора по информационной безопасности также должны сосредоточиться на том, как быстро компания сможет восстановиться после кибер-события. 

Хорошей новостью для директоров по информационной безопасности является то, что многие из этих должностей были повышены до уровня подлинного высшего звена. Плохая новость заключается в том, что их роль в первую очередь консультативная, второстепенная по отношению к тому, что лидеры считают приемлемым риском. Учитывая растущее давление со стороны Комиссии по ценным бумагам и биржам (SEC) и Министерства юстиции в отношении Ответственность CISO после кибератаки, эта позиция быстро становится несостоятельной.

Следующий этап для директоров по информационной безопасности

Чтобы добиться успеха сегодня, директора по информационной безопасности должны развивать новые навыки, сохраняя при этом прочные основы. Вот как это можно сделать. 

  • Научитесь разговаривать с доской. Директора по информационной безопасности должны быть переговорщиками. Им необходимо выступать за усиление безопасности и убеждать советы директоров и бизнес-подразделения в том, что они понимают риски. То, как директор по информационной безопасности подходит к этому вопросу, может варьироваться в зависимости от того, имеют ли члены совета директоров опыт работы в сфере технологий или бизнеса. Может оказаться полезным проведение демонстрации, которая рассматривает технический риск с точки зрения бизнеса. Директора по информационной безопасности также должны поговорить с другими руководителями высшего звена, а также с директорами по информационной безопасности из других отраслей, чтобы получить предварительную поддержку и различные точки зрения на аналогичные разговоры, которые они ведут со своими советами директоров. 

  • Научитесь чувствовать себя комфортно с серым. Директора по информационной безопасности должны быть готовы к разработке подхода, основанного на риске, с акцентом на важности устойчивости, поскольку злоумышленники будут войти. Разработка проверенного плана реагирования на атаки так же важна, как и реализация превентивных мер. И всегда помните: вы не можете обеспечить абсолютную безопасность… необходимо сбалансировать риск и затраты.

  • Подчеркните основы. Директора по информационной безопасности должны создать высокотехническую команду, которая сможет сосредоточиться на ключевых методах обеспечения безопасности. Им следует провести кабинетные учения по таким сценариям, как завершение работы системы или невозможность подключения к Интернету. Директора по информационной безопасности не должны полагаться на предположения о том, как реагировать; жизненно важно проработать и протестировать все планы реагирования. 

  • Будьте внимательны к технологиям. Сегодня у служб безопасности слишком много информации, чтобы разобраться в ней. Крайне важно консолидировать данные и инвестировать в автоматизацию. На своей прежней должности я обнаружил, что моя команда тратит треть своего времени на сбор данных и создание отчетов. Это нехорошее использование чьего-либо времени. Автоматизация может помочь. Это также обогатит карьеру вашей команды, поскольку она сможет сосредоточиться на безопасности, а не на административных функциях.

  • Документ все. Когда происходит разрушительный инцидент, вина часто возлагается на директора по информационной безопасности. В последние годы директоров по информационной безопасности крупных компаний увольняли, вызывали для дачи показаний в суде, а в некоторых случаях заряженный преступлений. Директора по информационной безопасности должны разработать план реагирования на кибератаки, документировать каждый шаг и неукоснительно ему следовать. Это, возможно, не спасет работу директора по информационной безопасности, но может уберечь его от суда. 

Новый директор по информационной безопасности для нового ландшафта угроз

Ассоциация ИТ-ландшафт предприятия существенно изменился за последние 40 лет они становятся все более рассредоточенными, облачными и играют центральную роль в ведении бизнеса. То же самое произошло и с ситуацией с киберугрозами, нарушения которых сегодня считаются неизбежными. При таком большом количестве изменений нереально, чтобы сегодня директор по информационной безопасности работал так же, как и в прошлые десятилетия. В этой новой среде, Директора по информационной безопасности должны переопределить, как они балансируют киберустойчивость и оперативные требования, взаимодействовать со старшими руководителями и советом директоров, а также обеспечивать командное и техническое лидерство.

Отметка времени:

Больше от Темное чтение