КОММЕНТАРИЙ
Компании осознают важность кибербезопасности и все чаще включают ее в качестве актива в свои операционные стратегии. Но смешивая безопасность и операции, организации могут размывать основную миссию директора по информационной безопасности (CISO): защищать активы компании от нежелательных атак.
Начиная с 1990-х годов роль директора по информационной безопасности была более технической и ориентированной на ИТ. Безопасность была черно-белой, и департаменты стремились устранить все, что считалось риском. Однако за последние 20 лет работа изменилась. Директора по информационной безопасности сталкиваются с большим количеством рисков, чем можно решить, от них ожидается, что они будут балансировать между безопасностью и оперативными возможностями и должны убедить лидеров инвестировать в защиту.
Сегодня от директоров по информационной безопасности также ожидается, что они будут подчиняться потребностям бизнеса, продолжая при этом нести ответственность за нарушения. На сетевых мероприятиях я вижу все больше и больше директоров по информационной безопасности с бизнес-опытом, которые меньше сосредотачиваются на кибераспектах работы, а больше на поддержке бизнес-приоритетов.
Этот переход может поставить компании в шаткое положение. Ослабление мер кибербезопасности ради скорости не только угрожает безопасности данных компании, но и создает ненужный риск. И это немаловажно. В соответствии с Отчет IBM «Цена утечки данных в 2023 году» средняя стоимость утечки данных в 2023 году составила 4.45 миллиона долларов, что на 15% больше, чем за три года.
В 2024 году нам необходимо еще раз переосмыслить роль директора по информационной безопасности. Сегодняшний директор по информационной безопасности должен помочь своей организации понять, что приоритизация снижения рисков является ключом к устойчивости бизнеса перед лицом современных угроз.
Сегодняшний директор по информационной безопасности: устойчивый политик
Когда-то директора по информационной безопасности умели продавать свою значимость, основываясь на идее, что с точки зрения кибербезопасности небо рушится. Но по мере слияния бизнеса и безопасности компаний, на первый план вышла корпоративная подотчетность. Фокус директоров по информационной безопасности сместился с предотвращения рисков на управление рисками и рассмотрение того, какой уровень является приемлемым для достижения бизнес-целей.
Во многих случаях последнее слово в отношении того, какой уровень риска является приемлемым, включая киберриск, теперь остается за бизнес-подразделениями, которые приносят доход. Между тем, лидеры бизнеса, которые стали лучше разбираться в кибербезопасности, больше не хотят слышать о том, что небо рушится. Вместо этого они хотят, чтобы директор по информационной безопасности сосредоточил внимание на росте и прибыльности, одновременно защищая предприятие от кибератак. В условиях распространения программ-вымогателей директора по информационной безопасности должны не только предотвращать, обнаруживать и устранять угрозы безопасности, но теперь должны учитывать, насколько устойчивы системы к кибератакам, которые могут вывести компанию из бизнеса. Директора по информационной безопасности также должны сосредоточиться на том, как быстро компания сможет восстановиться после кибер-события.
Хорошей новостью для директоров по информационной безопасности является то, что многие из этих должностей были повышены до уровня подлинного высшего звена. Плохая новость заключается в том, что их роль в первую очередь консультативная, второстепенная по отношению к тому, что лидеры считают приемлемым риском. Учитывая растущее давление со стороны Комиссии по ценным бумагам и биржам (SEC) и Министерства юстиции в отношении Ответственность CISO после кибератаки, эта позиция быстро становится несостоятельной.
Следующий этап для директоров по информационной безопасности
Чтобы добиться успеха сегодня, директора по информационной безопасности должны развивать новые навыки, сохраняя при этом прочные основы. Вот как это можно сделать.
-
Научитесь разговаривать с доской. Директора по информационной безопасности должны быть переговорщиками. Им необходимо выступать за усиление безопасности и убеждать советы директоров и бизнес-подразделения в том, что они понимают риски. То, как директор по информационной безопасности подходит к этому вопросу, может варьироваться в зависимости от того, имеют ли члены совета директоров опыт работы в сфере технологий или бизнеса. Может оказаться полезным проведение демонстрации, которая рассматривает технический риск с точки зрения бизнеса. Директора по информационной безопасности также должны поговорить с другими руководителями высшего звена, а также с директорами по информационной безопасности из других отраслей, чтобы получить предварительную поддержку и различные точки зрения на аналогичные разговоры, которые они ведут со своими советами директоров.
-
Научитесь чувствовать себя комфортно с серым. Директора по информационной безопасности должны быть готовы к разработке подхода, основанного на риске, с акцентом на важности устойчивости, поскольку злоумышленники будут войти. Разработка проверенного плана реагирования на атаки так же важна, как и реализация превентивных мер. И всегда помните: вы не можете обеспечить абсолютную безопасность… необходимо сбалансировать риск и затраты.
-
Подчеркните основы. Директора по информационной безопасности должны создать высокотехническую команду, которая сможет сосредоточиться на ключевых методах обеспечения безопасности. Им следует провести кабинетные учения по таким сценариям, как завершение работы системы или невозможность подключения к Интернету. Директора по информационной безопасности не должны полагаться на предположения о том, как реагировать; жизненно важно проработать и протестировать все планы реагирования.
-
Будьте внимательны к технологиям. Сегодня у служб безопасности слишком много информации, чтобы разобраться в ней. Крайне важно консолидировать данные и инвестировать в автоматизацию. На своей прежней должности я обнаружил, что моя команда тратит треть своего времени на сбор данных и создание отчетов. Это нехорошее использование чьего-либо времени. Автоматизация может помочь. Это также обогатит карьеру вашей команды, поскольку она сможет сосредоточиться на безопасности, а не на административных функциях.
-
Документ все. Когда происходит разрушительный инцидент, вина часто возлагается на директора по информационной безопасности. В последние годы директоров по информационной безопасности крупных компаний увольняли, вызывали для дачи показаний в суде, а в некоторых случаях заряженный преступлений. Директора по информационной безопасности должны разработать план реагирования на кибератаки, документировать каждый шаг и неукоснительно ему следовать. Это, возможно, не спасет работу директора по информационной безопасности, но может уберечь его от суда.
Новый директор по информационной безопасности для нового ландшафта угроз
Ассоциация ИТ-ландшафт предприятия существенно изменился за последние 40 лет они становятся все более рассредоточенными, облачными и играют центральную роль в ведении бизнеса. То же самое произошло и с ситуацией с киберугрозами, нарушения которых сегодня считаются неизбежными. При таком большом количестве изменений нереально, чтобы сегодня директор по информационной безопасности работал так же, как и в прошлые десятилетия. В этой новой среде, Директора по информационной безопасности должны переопределить, как они балансируют киберустойчивость и оперативные требования, взаимодействовать со старшими руководителями и советом директоров, а также обеспечивать командное и техническое лидерство.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/cybersecurity-operations/new-ciso-rethinking-the-role
- :имеет
- :является
- :нет
- 10
- 11
- 12
- 15%
- 20
- 20 лет
- 2023
- 2024
- 40
- 7
- 8
- a
- в состоянии
- О нас
- Absolute
- приемлемый
- выполнено
- По
- отчетность
- подотчетный
- административный
- продвижение
- консультативный
- снова
- Все
- причислены
- всегда
- an
- и
- кто угодно
- все
- подхода
- МЫ
- спорить
- AS
- аспекты
- активы
- Активы
- предположения
- At
- нападки
- автоматизация
- в среднем
- назад
- фоны
- Плохой
- Баланс
- Балансировка
- основанный
- BE
- , так как:
- становиться
- становление
- было
- не являетесь
- Черный
- доска
- нарушение
- нарушения
- строить
- бизнес
- Бизнес лидеры
- но
- by
- под названием
- пришел
- CAN
- не могу
- возможности
- карьера
- случаев
- центральный
- изменение
- менялась
- главный
- начальник отдела информационной безопасности
- Circle
- CISO
- удобный
- комиссии
- Компании
- Компания
- проведение
- Свяжитесь
- Рассматривать
- рассмотрение
- считается
- принимая во внимание
- консолидировать
- Беседы
- убеждать
- Основные
- Корпоративное
- Цена
- может
- корт
- создает
- Создающий
- кибер-
- Кибератака
- кибератаки
- Информационная безопасность
- повреждения
- данным
- Данные нарушения
- десятилетия
- считается
- глубоко
- доставить
- запросы
- демонстрация
- Кафедра
- Департамент правосудия
- ведомства
- в зависимости
- обнаруживать
- развивать
- развивающийся
- различный
- усердие
- открытый
- рассеянный
- документ
- дело
- возвышенный
- ликвидировать
- обогащать
- Предприятие
- Окружающая среда
- существенный
- События
- События
- Каждая
- многое
- обмена
- руководителей высшего звена.
- ожидаемый
- опыт
- Face
- Падение
- в пользу
- Футов
- окончательный
- Фокус
- фокусировка
- следовать
- Что касается
- Бывший
- от
- Функции
- Основы
- сбор
- порождать
- подлинный
- получить
- Go
- Цели
- идет
- хорошо
- серый
- Рост
- происходит
- Есть
- имеющий
- слышать
- помощь
- полезный
- Как
- How To
- Однако
- HTTPS
- i
- IBM
- ICON
- идея
- Осуществляющий
- значение
- важную
- in
- неспособность
- инцидент
- В том числе
- включать
- Увеличение
- повышение
- все больше и больше
- промышленности
- неизбежный
- информация
- информационная безопасность
- незначительный
- вместо
- взаимодействовать
- Интернет
- в
- Грин- карта инвестору
- IT
- ЕГО
- работа
- JPG
- всего
- Юстиция
- Сохранить
- Основные
- заложены
- пейзаж
- Лидеры
- Наша команда
- Оставлять
- Меньше
- позволять
- уровень
- дольше
- Сохранение
- основной
- многих
- Май..
- Между тем
- меры
- Участники
- может быть
- миллиона
- Наша миссия
- Смешивание
- Модерн
- БОЛЕЕ
- много
- должен
- my
- Необходимость
- потребности
- сетей
- Новые
- Новости
- следующий
- нет
- сейчас
- of
- сотрудник
- .
- on
- консолидировать
- ONE
- Одна треть
- только
- работать
- оперативный
- Операционный отдел
- or
- организация
- организации
- Другое
- внешний
- за
- мимо
- перспектива
- перспективы
- план
- Планы
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- Играть
- политик
- должность
- практиками
- давление
- предотвращать
- в первую очередь
- приоритезация
- прибыли
- для защиты
- защищающий
- защиту
- обеспечивать
- обеспечение
- преследование
- положил
- Оферты
- быстро
- вымогателей
- RE
- последний
- признавать
- Recover
- переопределить
- снижение
- полагаться
- помнить
- отчету
- Сообщить 2023
- Отчеты
- упругость
- упругий
- решен
- Реагируйте
- ответ
- доходы
- Снижение
- рисках,
- Роли
- роли
- Run
- Бег
- s
- Сакэ
- то же
- Сохранить
- сообщили
- Сценарии
- SEC / КОМИССИЯ ПО ЦЕННЫМ БУМАГАМ И БИРЖАМ
- вторичный
- Ценные бумаги
- Комиссия по ценным бумагам и биржам
- безопасность
- риски безопасности
- посмотреть
- видя
- продаем
- старший
- сдвинутых
- должен
- выключение
- Стороны
- аналогичный
- навыки
- Sky
- So
- некоторые
- скорость
- Расходы
- Этап
- оставаться
- Шаг
- По-прежнему
- стратегий
- сильный
- прочные основы
- сильнее
- успешный
- такие
- поддержки
- Коммутатор
- система
- системы
- Говорить
- команда
- команды
- технологии
- Технический
- Технологии
- terms
- проверенный
- Тестирование
- чем
- который
- Ассоциация
- их
- Их
- Эти
- они
- этой
- угроза
- угрожает
- угрозы
- три
- Через
- время
- в
- сегодня
- слишком
- понимать
- единиц
- ненужный
- нежелательный
- использование
- меняться
- жизненный
- пробираться
- Услуга
- хотеть
- законопроект
- Путь..
- we
- ЧТО Ж
- были
- Что
- когда
- будь то
- в то время как
- белый
- КТО
- широко
- будете
- лет
- еще
- Ты
- ВАШЕ
- зефирнет