Vloga CISO se spreminja. Ali lahko CISO sami sledijo?

Vloga glavnega uradnika za informacijsko varnost (CISO) se je v zadnjem desetletju zaradi hitre digitalne transformacije razširila. Zdaj morajo biti CISO veliko bolj poslovno usmerjeni, nositi veliko več klobukov in učinkovito komunicirati s člani uprav, zaposlenimi in strankami, sicer tvegajo resne varnostne napake.

V obsežnem novinarskem vprašanju in odgovoru na CPX 2024 v Las Vegasu je skupina CISO in podpredsednikov (VP) mednarodnih organizacij razpravljala o tem, kako so digitalna transformacija, pritiski na končno vrednost in pomanjkanje ozaveščenosti o varnosti prisilili k spremembi narave njihova stališča – na splošno, od tehničnih do poslovnih in zelo socialnih.

Danes so predlagali, da je razlika med učinkovitim CISO - in, posledično, učinkovito varnostno kulturo v organizaciji - tako v mehkejših komunikacijskih veščinah kot v blaženju ranljivosti in definiranju politik. Pravzaprav varnostni vodje, ki uspevajo s slednjim, vendar jim primanjkuje prvega, na koncu izpostavijo svoje organizacije večjim kršitvam.

"Ste vprašali o posledicah?" Dan Creed, CISO pri Allegiant Travel Company, je retorično vprašal v odgovoru na vprašanje Dark Readinga. »Vprašajte SolarWinds, kakšne so posledice. Imeli so politiko gesel, pripravnik ni upošteval politike gesel, poglejte posledice.«

Kako je digitalna transformacija spremenila CISO

"Vloga CISO se je v zadnjih 10 letih spremenila in tega nikoli nismo zares opazili," je na ločeni tiskovni konferenci CPX 6. marca izjavil Frank Dickson, programski podpredsednik za izdelke kibernetske varnosti pri IDC.

Pred leti je bil položaj ustvarjen z razmeroma ozkim poudarkom na kibernetskem tveganju, s katerim je povezan še danes. Vendar se je razširil, predvsem zaradi razširitve površine napadov na podjetja. Tipične kršitve, ki so zahtevale ranljivosti v korporativnih virih – pomislite na Target, Ashley Madison in podobne. Dandanes, zlasti po COVID-u, je e-pošte, telefonov in drugih naprav zaposlenih namesto tega predstavljajo največje tveganje za organizacije. Ker je odgovornost za informacijsko varnost postala kolektivna, so bili CISO prisiljeni zapustiti svoje silose.

Frank Dickson obvešča novinarje o novem poročilu IDC; Vir: CPX

Digitalna transformacija je IT premaknila tudi iz zaprtega kota naravnost v področje poslovanja. Kot je poudaril Dickson, bodo »približno 40 % vseh prihodkov za [Global] 2000 naslednje leto poganjali digitalni izdelki in storitve. To torej spremeni naravo IT iz določanja stroškov v nekaj, kar je na poti k ustvarjanju prihodkov. In če pomislite, kaj to naredi, to bistveno spremeni vlogo CISO.« Bolj kot podjetja danes pojmujejo informacijsko tehnologijo kot gonilo poslovanja, več CISO-jev je treba vključiti ne le v preprečevanje in zmanjševanje kibernetskih tveganj, ampak tudi v svetovanje upravnemu odboru pri poslovnih odločitvah in srečanjih z razvijalci, prodajalci in strankami.

Odgovornosti CISO, ki so vedno bolj usmerjene v poslovanje, so se odražale v raziskavi IDC, ki je bila razkrita na CPX. Od 847 anketiranih vodij na področju kibernetske varnosti jih 10 % meni, da so najpomembnejša naloga CISO veščine vodenja in oblikovanja ekipe, 8 % pa jih meni, da so to veščine vodenja poslovanja. Dejansko zavedanje in razumevanje kibernetske varnosti ter IT arhitektura in inženirske spretnosti so prejeli komaj kaj več glasov, po 12 %.

Kako lahko CISO delajo bolje s strani zaposlenih

Ne gre samo za CISO shouldnt podvojiti kot poslovneži – potrebujejo. »Posledica nevzpostavljanja teh odnosov [je], da v podjetju pridobite kulturo 'No, to ni moja odgovornost.' Kot SolarWinds in MGM. Svoj MFA ponastavijo samo s klicem v službo za pomoč uporabnikom, čeprav ne razumejo ali se ne zavedajo posledic nepoznavanja varnosti,« je pojasnil Creed.

Subtilnost v Creedovem argumentu - ki so jo ponovili drugi na okrogli mizi - je pomembna. Preprečevanje varnostnih pomanjkljivosti s strani zaposlenih ni zgolj stvar ozaveščanja, poudarjajo, saj tudi dobro obveščeni zaposleni ignorirajo varnost, kadar njihov odnos z njihovo varnostno ekipo ni zdrav ali ko je higiena preprosto preveč naporna.

»[Pravijo], da mora biti varnost skrita. Naredil sem še korak dlje: varnost bi morala podmazati poslovanje in ga narediti hitrejše,« je dejal Pete Nicoletti, terenski CISO pri Check Pointu, ki ponavlja razvito filozofijo sodobnega CISO. Ponudi VPN kot primer, kjer so omejeni, staromodni CISO tradicionalno upočasnili poslovanje. »Kako dolgo to drži mojo e-pošto: dve sekundi ali 10 sekund? Koliko časa traja prijava v VPN? Ali se bodo [zaposleni] potrudili, ker traja 22 sekund in preverjanje pristnosti? [Gre za] poskus, da bi bili ti čim bolj pregledni in enostavni za uporabo. Začnite izbirati orodja, ki dejansko pospešijo proces, tja, kjer imate sedaj konkurenčno prednost.«

"Nekatere moje prve pobude, ki jih spodbujam, so natanko te," je dodal Creed. »Odmaknimo se od VPN-ja in pojdimo k vedno vklopljenemu, kjer s svojim prenosnikom, ga vklopite, poženete in ste povezani v naše omrežje, nazaj skozi naš varnostni sklad. Naslednji cilj je, da zdaj postavljamo temelje za prehod na brezgesla.”

Če pogovor z zaposlenimi in olajšanje varnosti zanje ni dovolj, lahko CISO preizkusijo tudi alternativne spodbude. »Pravzaprav imamo meritve KPI glede varnostne kulture. In pripravljamo se na točko, da bomo začeli dejansko vplivati ​​na bonus sklade, kjer bo vaš oddelek, če gre bolje, povečal vaš bonus sklad nad normo [. . .] in če ne, potem zadene vaš bonus,« je pojasnil Creed.

Kako lahko CISO bolje sodelujejo s kolegi vodstvenimi delavci

Potem je tu še tabla.

IDC je v svoji raziskavi povprašal CISO in njihove kolege direktorje informatike, kaj CISO dejansko počnejo – na primer, ali so osredotočeni na strateško arhitekturo ali je delo po naravi taktično – in našel nezanemarljiva odstopanja v odgovorih, kar kaže, da celo CISO ' najbližji partnerji na ravni C niso povsem na istem.

Creed se je nedavno spomnil enega takega primera, ko smo »naročili nekaj novih 737. In to so naša prva e-povezana letala. [Odbor] me ni vključil v prejšnje pogovore, nato pa je postalo požarna vaja, da imajo vsa nova e-povezana letala zahteve glede kibernetske varnosti – to pravzaprav, če nimate odobrenega in sprejetega varnostnega načrta omrežja FAA v evidenci, izgubite potrdilo o plovnosti za ta letala. Ali menite, da je odbor, ko so prvič začeli govoriti o tej poti 'razširili bomo floto', menil, da bi to lahko imelo varnostne posledice?«

»Zato jih morate izobraziti in jim razložiti: zato potrebujemo sedež za mizo. Vsaka strateška odločitev, sprejeta za podjetje, vključuje tveganje. [. . .] Bolj ko si vključi nas na sedež za tisto mizobolje, če lahko zaščitimo podjetje in pretehtamo, kje je to tveganje na začetku, namesto ko postane požar,« je dejal.

V ta namen je v intervjuju za Dark Reading Russ Trainor, višji podpredsednik informacijske tehnologije pri Denver Broncos, ponudil preprost nasvet:

»Včasih bom novice o vdorih posredoval svojemu finančnemu direktorju: tukaj je, koliko podatkov je bilo odtujenih, tukaj je, koliko mislimo, da je to stalo,« pravi. "Te stvari ponavadi zadenejo domov."

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.darkreading.com/cybersecurity-operations/ciso-role-changing-can-cisos-keep-up