Поскольку кибербезопасность становится все более важным фактором при принятии корпоративных решений, был предпринят соответствующий шаг по поднятию роли директора по информационной безопасности (CISO) на более высокий уровень в исполнительной иерархии. Аргументация, похоже, такова: «Если кибербезопасность важна, то и директора по информационной безопасности должны быть важны». Однако повышение роли делает директора по информационной безопасности единственным голосом в пустыне, кричащим о «безопасности», имеющим мало связи с повседневными лицами, принимающими решения в области ИТ, проектирования или продуктов.
Это привело к некоторым нежелательным последствиям, например, руководитель Facebook считал, что все в порядке, если меры безопасности компании вызвало многочасовые задержки в ответ на сбой 4 октября 2021 года, или руководитель Uber, который расплатились с хакерами которые взломали его систему, вместо того, чтобы признать факт взлома, или многочисленные директора по информационной безопасности, которые вложили средства в «дополнительные уровни безопасности», вместо того, чтобы признать, что изначально они сделали неправильный выбор. Во всех этих случаях изоляция директора по информационной безопасности от функциональных бизнес-подразделений, несомненно, сыграла роль в туннельном мышлении, которое отражают эти решения.
Организационное влияние
Возможно, пришло время переосмыслить роль директора по информационной безопасности. Возможно, лучше видеть, что важность директора по информационной безопасности отражается в организационном влиянии, а не в организационном статусе. Возможно, встраивание безопасности в функциональные блоки приведет к повышению безопасности.
Представьте себе директора по информационной безопасности как часть экосистемы ИТ-организации. Они будут участвовать в принятии каждого решения, касающегося инфраструктуры, и вопросы безопасности будут неотъемлемой частью этих решений, а не возникнут постфактум. Это позволило бы создать набор решений «безопасности», основанных на том, как сеть структурирована и управляется, а не на специальных возможностях безопасности, внедренных в инфраструктуру внешней группой.
Представьте себе эксперта по безопасности, работающего в организации, занимающейся разработкой программного обеспечения. Они смогут усовершенствовать процесс разработки, чтобы гарантировать, что код пишется и тестируется с учетом безопасности, не обременяя разработчиков чуждыми для них процессами, тем самым уменьшая уязвимости в коде компании. Представьте себе эксперта по безопасности, встроенного в линейку продуктов. Они смогут убедиться, что корпоративная инфраструктура защищает их интеллектуальную собственность, а процесс разработки снижает количество уязвимостей в их продуктах.
Во всех этих случаях безопасность становится фактором корпоративных решений, основанных на реальности корпоративных операций. Технический опыт директора по информационной безопасности становится неотъемлемой частью повседневной работы, а не налагаемым на нее ограничением. Аналогичным образом, безопасность и соответствие требованиям должны работать бесперебойно, чтобы финансовые системы и связь с партнерами и поставщиками оставались безопасными. Это распространяется на телекоммуникационные системы и другое оборудование.
Фактор риска
Это кажется более эффективным способом сделать технический аспект безопасности весомым голосом в управлении компанией. Однако можно задаться вопросом, не уменьшит ли это политическое измерение, балансируя его в целях удовлетворения особых интересов отдельных функциональных подразделений. Эту проблему можно решить, расширив роль директора по рискам, включив в него функции политики безопасности, которые в настоящее время выполняет директор по информационной безопасности.
Преимуществом этого является сохранение политики безопасности на уровне C, где ей уделяется необходимое внимание. Еще одно преимущество заключается в том, что риск кибербезопасности рассматривается в контексте других рисков (риск доступности, риск репутации, для решения вышеуказанных случаев). Безопасность больше не будет самоцелью, а станет аспектом ведения бизнеса. Это не означает, что безопасность должна бороться с другими проблемами и принимать меры, которые ставят под угрозу состояние безопасности организации. Скорее, он создает среду, в которой менталитет «или-или» заменяется менталитетом, стремящимся удовлетворить все требования.
Существует множество технологий контроля доступа, которые могли бы эффективно защитить Facebook, не блокируя при этом собственный персонал. Когда риск безопасности рассматривается наряду с риском доступности, появляются более прагматичные решения.
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
