Eftersom cybersäkerhet har blivit ett allt viktigare övervägande i företagens beslutsfattande, har det skett ett motsvarande steg för att lyfta rollen som Chief Information Security Officer (CISO) till en högre punkt i den verkställande hierarkin. Resonemanget verkar vara: "Om cyber är viktigt måste CISO:er vara viktiga." Men att höja rollen gör att CISO blir en ensam röst i öknen som ropar "säkerhet", med liten koppling till de dagliga beslutsfattarna inom IT, teknik eller produkter.
Detta har lett till några oönskade konsekvenser, som Facebook-chefen som tyckte att det var OK att företagets säkerhetsåtgärder orsakade timmar långa förseningar i att svara på dess 4 oktober 2021, avbrott, eller Uber exec who betalt hackare som brutit mot hans system, snarare än att erkänna intrånget, eller de många CISO:er som har investerat i "ytterligare lager av säkerhet" snarare än att erkänna att de gjorde dåliga val initialt. I alla dessa fall spelade CISO:s isolering från funktionella affärsenheter utan tvekan en roll i tunneltänkandet som dessa beslut återspeglar.
Organisatorisk påverkan
Kanske är det dags att ombilda CISO:s roll. Kanske är det bättre att se CISO:s betydelse återspeglas i organisatorisk påverkan snarare än organisatorisk status. Kanske kommer inbäddning av säkerhet i funktionella enheter att resultera i bättre säkerhet.
Föreställ dig CISO som en del av IT-organisationens ekosystem. De skulle vara inblandade i varje beslut om infrastrukturen, och säkerhetsproblem skulle vara en integrerad del av dessa beslut snarare än att angripas i efterhand. Detta skulle möjliggöra en uppsättning "säkerhets"-lösningar baserade på hur nätverket är strukturerat och hanterat, snarare än på speciella säkerhetsfunktioner som infogats i infrastrukturen av en extern grupp.
Föreställ dig en säkerhetsexpert inbäddad i mjukvaruutvecklingsorganisationen. De skulle kunna förfina utvecklingsprocessen för att se till att kod skrivs och testas med ett öga för säkerhet, utan att besvära utvecklarna med processer som är främmande för dem, och därigenom minska sårbarheterna i företagets kod. Föreställ dig en säkerhetsexpert inbäddad i produktlinjer. De skulle kunna se till att företagets infrastruktur skyddar deras IP och att deras utvecklingsprocess minskar sårbarheterna i deras produkt.
I alla dessa fall blir säkerhet en faktor i företagens beslut grundade på verkligheten i företagsverksamheten. CISO:s tekniska expertis blir en integrerad del av det dagliga arbetet snarare än en begränsning som den åläggs. På samma sätt måste säkerhet och efterlevnad fungera sömlöst så att finansiella system och kommunikation med partners och leverantörer förblir säkra. Detta sträcker sig till telekomsystem och annan hårdvara.
Riskfaktorn
Detta verkar vara ett mer effektfullt sätt att göra den tekniska dimensionen av säkerhet till en kraftfull röst i företagets utförande. Man kan dock undra om detta kommer att minska den politiska dimensionen och balansera den för att tillgodose enskilda funktionella enheters särskilda intressen. Denna oro kan lösas genom att utöka rollen som riskchefen till att omfatta de säkerhetspolitiska funktioner som för närvarande utförs av CISO.
Detta har fördelen av att hålla säkerhetspolicyn på C-nivå, där den får den uppmärksamhet den behöver. Det har den ytterligare fördelen att cybersäkerhetsrisken beaktas i samband med andra risker (risk för tillgänglighet, risk för rykte, för att ta itu med fallen ovan). Säkerhet skulle inte längre vara ett självändamål, utan en dimension av att göra affärer. Detta betyder inte att säkerheten behöver slåss ut med andra problem och göra boende som äventyrar organisationens säkerhetsställning. Snarare skapar det en miljö som byter ut antingen/eller-mentaliteten mot en som strävar efter att tillfredsställa alla krav.
Det finns många åtkomstkontrolltekniker som skulle ha skyddat Facebook effektivt utan att låsa ut sin egen personal. När säkerhetsrisken beaktas tillsammans med tillgänglighetsrisken, skulle de mer pragmatiska lösningarna dyka upp.
