Роль директора по информационной безопасности (CISO) расширилась за последнее десятилетие благодаря быстрой цифровой трансформации. Теперь директора по информационной безопасности должны быть гораздо более ориентированы на бизнес, носить гораздо больше обязанностей и эффективно взаимодействовать с членами совета директоров, сотрудниками и клиентами, иначе они рискуют столкнуться с серьезными нарушениями безопасности.
В ходе обширной пресс-конференции на конференции CPX 2024 в Лас-Вегасе группа директоров по информационной безопасности и вице-президентов (вице-президентов) международных организаций обсудила, как цифровая трансформация, давление на прибыль и недостаточная осведомленность о безопасности привели к изменению характера их должности – в широком смысле, от технических до деловых, и очень социальные.
Сегодня, по их мнению, разница между эффективным директором по информационной безопасности (и, как следствие, эффективной культурой безопасности в организации) заключается как в более мягких навыках общения, так и в уменьшении уязвимостей и определении политики. Фактически, руководители служб безопасности, которые преуспевают в последнем, но испытывают недостаток в первом, в конечном итоге подвергают свои организации серьезным нарушениям.
— Вы спрашивали о последствиях? — задал риторический вопрос Дэн Крид, директор по информационной безопасности компании Allegiant Travel Company, в ответ на вопрос Dark Reading. «Спросите SolarWinds, каковы последствия. У них была политика паролей, стажер не соблюдал политику паролей, посмотрите на последствия».
Как цифровая трансформация изменила директора по информационной безопасности
«Роль директора по информационной безопасности изменилась за последние 10 лет, и мы никогда не переставали это замечать», — заявил Фрэнк Диксон, вице-президент программы по продуктам кибербезопасности в IDC, на отдельной пресс-конференции CPX 6 марта.
Несколько лет назад эта должность была создана с относительно узкой специализацией в области киберрисков, с которой она ассоциируется до сих пор. Но оно расширилось, во-первых, благодаря расширению поверхности корпоративных атак. Типичные нарушения, которые раньше требовали уязвимостей в корпоративных ресурсах — вспомните Target, Ashley Madison и тому подобное. В настоящее время, особенно после COVID, это электронная почта, телефоны и другие устройства сотрудников вместо этого они представляют наибольший риск для организаций. Поскольку ответственность за информационную безопасность стала коллективной, директора по информационной безопасности были вынуждены выйти из своих хранилищ.
Фрэнк Диксон информирует прессу о новом отчете IDC; Источник: CPX
Цифровая трансформация также вывела ИТ из изолированного уголка прямо в сферу бизнеса. Как отметил Диксон: «Около 40% всех доходов [Global] 2000 в следующем году будет обеспечено цифровыми продуктами и услугами. Таким образом, это меняет природу ИТ: из организации, устанавливающей затраты, в нечто, что находится на пути к получению дохода. И если задуматься о том, что это дает, это фундаментально меняет роль директора по информационной безопасности». Чем больше компании сегодня воспринимают ИТ как движущую силу бизнеса, тем больше директора по информационной безопасности должны быть интегрированы не только в предотвращение и смягчение киберрисков, но и в консультирование совета директоров по бизнес-решениям, а также во взаимодействие с разработчиками, продавцами и клиентами.
Все более частые обязанности директора по информационной безопасности отражаются в опросе IDC, представленном на CPX. Из 847 опрошенных руководителей в области кибербезопасности 10% считают, что самая важная работа директора по информационной безопасности — это навыки лидерства и построения команды, а 8% считают, что это навыки управления бизнесом. Фактическая осведомленность и понимание кибербезопасности, а также ИТ-архитектура и инженерные навыки получили чуть больше голосов - по 12%.
Как директора по информационной безопасности могут улучшить работу сотрудников
Дело не только в том, что директора по информационной безопасности должен вдвойне бизнесмены — им это необходимо. «Последствием отсутствия таких отношений в компании становится корпоративная культура: «Ну, это не моя ответственность». Например, SolarWinds и MGM. Они сбрасывают свой MFA, просто звоня в службу поддержки, хотя они не понимают и не осознают последствий неосведомленности о безопасности», — объяснил Крид.
Тонкость аргументации Крида, которую поддержали другие участники круглого стола, важна. Они подчеркивают, что предотвращение нарушений безопасности со стороны сотрудников — это не просто вопрос распространения информации, поскольку даже знающие сотрудники игнорируют безопасность, когда их отношения с командой безопасности нездоровы или когда соблюдение гигиены требует слишком больших усилий.
«[Они говорят] безопасность должна быть скрытой. Я делаю еще один шаг вперед: безопасность должна смазывать бизнес и ускорять его», — сказал Пит Николетти, полевой директор по информационной безопасности компании Check Point, повторяя развитую философию современного директора по информационной безопасности. Он приводит VPN в качестве примера того, как ограниченность старомодных директоров по информационной безопасности традиционно замедляет бизнес. «Как долго моя электронная почта будет храниться: две секунды или 10 секунд? Сколько времени занимает регистрация в VPN? Собираются ли [сотрудники] обойти эту проблему, потому что для этого требуется 22 секунды и аутентификация? [Речь идет] о попытке сделать их максимально прозрачными и простыми в использовании. Начните выбирать инструменты, которые действительно ускорят этот процесс, и у вас появится конкурентное преимущество».
«Некоторые из моих первых инициатив, которые я продвигаю, именно такие», — поддержал Крид. «Давайте отойдем от VPN и перейдем к постоянному подключению вашего ноутбука: вы включаете его, включаетесь и подключаетесь к нашей сети, проходя через наш стек безопасности. Следующая цель — сейчас мы закладываем основу для перехода на отсутствие паролей».
Если общения с сотрудниками и упрощения для них мер безопасности недостаточно, директора по информационной безопасности также могут поэкспериментировать с альтернативными стимулами. «На самом деле у нас есть показатели KPI, касающиеся культуры безопасности. И мы готовимся к тому моменту, когда мы начнем реально влиять на бонусные фонды, и если ваш отдел будет работать лучше, это увеличит ваш бонусный пул выше нормы [. . .], а если вы этого не сделаете, это повлияет на ваш бонус», — объяснил Крид.
Как директора по информационной безопасности могут лучше сотрудничать с коллегами-руководителями
Тогда есть доска.
В своем опросе IDC спросила директоров по информационной безопасности и их коллег-директоров по информационным технологиям, чем на самом деле занимаются директора по информационной безопасности (например, сосредоточены ли они на стратегической архитектуре или же их работа носит тактический характер) и обнаружила значительные расхождения в ответах, указывая на то, что даже директора по информационной безопасности Ближайшие партнеры высшего звена не совсем на одной волне.
Крид недавно вспомнил один такой случай: «Мы заказали несколько новых 737-х. И это наш первый самолет с электронным подключением. [Правление] не включало меня в предыдущие разговоры, а затем это превратилось в учение о том, что все новые самолеты с электронным подключением имеют требования к кибербезопасности - это, по сути, если у вас нет плана сетевой безопасности, утвержденного и принятого с в файле FAA, вы потеряете сертификат летной годности для этих самолетов. Думаете ли вы, что правление, когда они впервые начали говорить о том, чтобы пойти по пути «мы собираемся расширить флот», считало, что это может иметь последствия для безопасности?»
«Поэтому вы должны их воспитывать и объяснять: именно поэтому нам нужно место за столом. Каждое стратегическое решение, принимаемое для бизнеса, сопряжено с риском. [. . .] Чем больше ты пригласите нас сесть за этот стол, тем лучше мы сможем защитить бизнес и взвесить, где этот риск возникает в самом начале, а не когда он перерастет в пожар», — сказал он.
В связи с этим в интервью Dark Reading Расс Трейнор, старший вице-президент по информационным технологиям Денвер Бронкос, дал простой совет:
«Иногда я пересылаю новости об утечках своему финансовому директору: вот сколько данных было украдено, вот сколько, по нашему мнению, это стоило», — говорит он. «Такие вещи, как правило, попадают в цель».
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/cybersecurity-operations/ciso-role-changing-can-cisos-keep-up
- :имеет
- :является
- :нет
- :куда
- $UP
- 10
- 2000
- 2024
- 22
- 7
- a
- О нас
- выше
- принятый
- фактического соединения
- на самом деле
- плюс
- консультирование
- тому назад
- самолет
- одинаково
- Все
- причислены
- альтернатива
- an
- и
- утвержденный
- архитектура
- МЫ
- аргумент
- около
- AS
- спросить
- связанный
- At
- атаковать
- Аутентификация
- осведомленность
- прочь
- назад
- BE
- стали
- , так как:
- становиться
- становится
- было
- не являетесь
- верить
- Лучшая
- между
- доска
- Бонус
- Дно
- нарушения
- брифинг
- бизнес
- но
- by
- призывают
- CAN
- случаев
- Сертификация
- CFO
- изменение
- менялась
- изменения
- изменения
- проверка
- главный
- начальник отдела информационной безопасности
- CISO
- сотрудничать
- собирательный
- общаться
- Связь
- Компании
- Компания
- конкурентоспособный
- Конференция
- присвоено
- подключенный
- следствие
- Последствия
- считается
- Беседы
- Corner
- Корпоративное
- Цена
- Covid
- создали
- Культура
- Клиенты
- кибер-
- Информационная безопасность
- темно
- Темное чтение
- данным
- десятилетие
- решение
- решения
- определяющий
- Денвер
- Кафедра
- стол
- застройщиков
- DID
- А не было
- разница
- Интернет
- цифровое преобразование
- do
- приносит
- Дон
- двойной
- вниз
- управляемый
- водитель
- вождение
- Ранее
- раннее
- легче
- легко
- - подтверждает ее слова
- воспитывать
- Эффективный
- фактически
- еще
- Писем
- подчеркивать
- сотрудников
- конец
- Проект и
- достаточно
- налаживание
- Даже
- Каждая
- эволюционировали
- точно,
- пример
- руководителей высшего звена.
- Расширьте
- расширенный
- эксперимент
- Объяснять
- объяснены
- расширение
- FAA
- факт
- сбои
- далеко
- быстрее
- человек
- поле
- Файл
- Для пожарных
- уволили
- First
- ФЛОТ
- Фокус
- внимание
- следовать
- Что касается
- принудительный
- Бывший
- вперед
- найденный
- Год основания
- откровенный
- от
- принципиально
- далее
- порождающий
- получить
- получающий
- Глобальный
- будет
- величайший
- было
- Есть
- имеющий
- he
- здоровый
- помощь
- здесь
- Скрытый
- очень
- Удар
- Хиты
- держать
- Главная
- Как
- HTTPS
- i
- IDC
- if
- игнорировать
- изображение
- воздействуя
- последствия
- важную
- in
- Стимулы
- включают
- Увеличивает
- все больше и больше
- с указанием
- информация
- информационная безопасность
- информационная технология
- инициативы
- незначительный
- вместо
- интегрированный
- Мультиязычность
- Интервью
- в
- вовлеченный
- мобильной
- IT
- ЕГО
- работа
- всего
- Сохранить
- Отсутствие
- портативный компьютер
- ЛАГ
- Лас Вегас
- укладка
- Лидеры
- Наша команда
- позволять
- такое как
- Ограниченный
- линия
- ll
- Длинное
- посмотреть
- терять
- сделанный
- основной
- сделать
- Создание
- управление
- многих
- Март
- Вопрос
- me
- Участники
- просто
- Метрика
- МИД
- может быть
- смягчающим
- Модерн
- БОЛЕЕ
- самых
- двигаться
- переехал
- много
- my
- Узкий
- природа
- Необходимость
- сеть
- Сетевая безопасность
- никогда
- Новые
- Новости
- следующий
- Уведомление..
- сейчас
- цель
- of
- предложенный
- Предложения
- сотрудник
- on
- консолидировать
- ONE
- начало
- or
- организация
- организации
- Другое
- Другое
- наши
- внешний
- за
- страница
- панель
- особенно
- партнеры
- Пароль
- мимо
- путь
- философия
- телефоны
- сбор
- план
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- Точка
- сборах
- политика
- бассейн
- Пулы
- должность
- возможное
- президент
- Президенты
- нажмите
- давление
- предупреждение
- процесс
- Продукция
- FitPartner™
- для защиты
- Вопросы и ответы
- вопрос
- быстро
- скорее
- RE
- Reading
- готовый
- реализовать
- на самом деле
- получила
- недавно
- отметила
- отношения
- Отношения
- относительно
- отчету
- представлять
- требовать
- Требования
- Полезные ресурсы
- ответ
- ответы
- ответственности
- ответственность
- Показали
- доходы
- Снижение
- рисках,
- Роли
- s
- Сказал
- Продавцы
- то же
- сообщили
- говорит
- секунды
- безопасность
- Безопасность
- старший
- отдельный
- серьезный
- Услуги
- сдвиг
- должен
- подписание
- разобщенный
- силосы
- просто
- просто
- с
- навыки
- So
- Соцсети
- SolarWinds
- некоторые
- удалось
- иногда
- Источник
- скорость
- Распространение
- стек
- Начало
- и политические лидеры
- заявил
- Шаг
- По-прежнему
- остановившийся
- прямой
- Стратегический
- такие
- Поверхность
- Опрос
- ТАБЛИЦЫ
- взять
- принимает
- говорить
- цель
- команда
- Технический
- Технологии
- Тенденцию
- чем
- Спасибо
- который
- Ассоциация
- Линия
- их
- Их
- сами
- тогда
- Там.
- Эти
- они
- вещи
- think
- этой
- те
- хоть?
- Thrive
- Через
- тип
- в
- сегодня
- слишком
- инструменты
- ПОЛНОСТЬЮ
- Традиционно
- трансформация
- преобразован
- прозрачный
- путешествовать
- пытается
- ОЧЕРЕДЬ
- два
- типичный
- понимать
- понимание
- us
- использование
- используемый
- ВЕГАС
- вице
- вице-президент
- голосов
- VPN
- Виртуальные частные сети
- Уязвимости
- законопроект
- we
- носить
- взвешивать
- ЧТО Ж
- были
- Что
- когда
- будь то
- КТО
- зачем
- Работа
- год
- лет
- Ты
- ВАШЕ
- зефирнет