CISO:s roll förändras. Kan CISO själva hänga med?

Rollen som Chief Information Security Officer (CISO) har utökats under det senaste decenniet tack vare snabb digital transformation. Nu måste CISO:er vara mycket mer affärsorienterade, bära många fler hattar och kommunicera effektivt med både styrelsemedlemmar, anställda och kunder, annars riskerar allvarliga säkerhetsfel.

I en omfattande press Q&A vid CPX 2024 i Las Vegas diskuterade en panel av CISO:er och vicepresidenter (VPs) för internationella organisationer hur digital transformation, press på slutresultatet och bristande säkerhetsmedvetenhet har tvingat fram en förändring i karaktären av deras positioner – i stort sett, från att vara tekniska till affärsmässiga och mycket sociala.

Idag, föreslog de, handlar skillnaden mellan en effektiv CISO - och, i förlängningen, en effektiv säkerhetskultur i en organisation - lika mycket om mjukare kommunikationsförmåga som att mildra sårbarheter och definiera policyer. Faktum är att säkerhetsledare som trivs med det senare men saknar det förra slutar med att utsätta sina organisationer för stora intrång.

"Du frågade om konsekvenserna?" Dan Creed, CISO på Allegiant Travel Company, frågade retoriskt som svar på en fråga från Dark Reading. "Fråga SolarWinds vad konsekvenserna är. De hade en lösenordspolicy, en praktikant följde inte lösenordspolicyn, titta på konsekvenserna.”

Hur digital transformation förvandlade CISO

"CISO:s roll har förändrats under de senaste 10 åren, och vi slutade aldrig riktigt lägga märke till det," sa Frank Dickson, programvicepresident för cybersäkerhetsprodukter på IDC, i en separat CPX-presskonferens den 6 mars.

För flera år sedan skapades positionen med det relativt snäva cyberriskfokus som det fortfarande förknippas med idag. Men det har utökats, först och främst tack vare en breddning av företagets attackyta. Typiska intrång som används för att kräva sårbarheter i företagsresurser - tänk Target, Ashley Madison och liknande. Nuförtiden, särskilt efter covid, är det anställdas e-post, telefoner och andra enheter som istället utgör den största risken för organisationer. Eftersom ansvaret för informationssäkerhet har blivit ett kollektivt ansvar har CISO:er tvingats ut ur sina silor.

Frank Dickson informerar pressen om IDC:s nya rapport; Källa: CPX

Digital transformation har också flyttat IT från sitt slutna hörn, rakt in i branschen. Som Dickson påpekade, "Omkring 40 % av alla intäkter för [Global] 2000 nästa år kommer att drivas av digitala produkter och tjänster. Så vad det gör är att förändra ITs natur från en kostnadssättare till något som är på väg att generera intäkter. Och om du tänker på vad det gör, förändrar det i grunden CISO:s roll.” Ju mer företag idag uppfattar IT som en affärsdrivkraft, desto mer behöver CISO:er integreras i att inte bara förebygga och mildra cyberrisker, utan också ge råd till styrelsen om affärsbeslut och träffa utvecklare, säljare och kunder.

CISO:s alltmer affärsinriktade ansvar återspeglades i en IDC-undersökning som avslöjades på CPX. Av 847 tillfrågade cybersäkerhetsledare anser 10% att det viktigaste jobbet för en CISO är ledarskap och teambuilding-förmåga, och 8% anser att det är företagsledningsförmåga. Faktisk cybersäkerhetsmedvetenhet och förståelse, och IT-arkitektur och ingenjörskompetens, fick knappt fler röster med 12 % styck.

Hur CISOs kan göra bättre av anställda

Det är inte bara att CISOs skall dubbla som affärsmän — de behöver. "Konsekvensen av att inte etablera dessa relationer [är] att du får en kultur i sällskapet av "Ja, det är inte mitt ansvar." Som SolarWinds och MGM. De återställer sin MFA bara genom ett samtal till Help Desk, även om de inte förstår eller inser konsekvenserna av att inte ha säkerhetsmedvetenhet”, förklarade Creed.

Subtiliteten i Creeds argument – ​​som upprepas av andra vid rundabordsbordet – är viktig. Att förebygga säkerhetsbortfall hos anställda är inte bara en fråga om att sprida medvetenhet, betonar de, eftersom även kunniga medarbetare ignorerar säkerheten när deras relation med deras säkerhetsteam inte är hälsosam, eller när hygienen helt enkelt är för ansträngande.

"[De säger] säkerheten borde döljas. Jag tar det ett steg längre: säkerhet bör smörja affärer och göra det snabbare, säger Pete Nicoletti, Field CISO på Check Point, och återspeglar den moderna CISO:s utvecklade filosofi. Han erbjuder VPN som ett exempel på var begränsade, gammaldags CISOs traditionellt har bromsat affärerna. "Hur länge håller det min e-post i: två sekunder eller 10 sekunder? Hur lång tid tar det för VPN att registrera sig? Kommer [anställda] att komma runt det eftersom det tar 22 sekunder och autentisering? [Det handlar om] att försöka göra dessa så transparenta och lättanvända som möjligt. Börja välja verktyg som faktiskt påskyndar processen, till där du nu har en konkurrensfördel.”

"Några av mina tidigaste initiativ som jag kör är precis det," sekonderade Creed. "Låt oss gå bort från VPN och komma till en alltid-på där du slår på den med din bärbara dator, du är tänd, och du är ansluten till vårt nätverk och går tillbaka genom vår säkerhetsstack. Nästa mål är att vi nu lägger grunden för att gå över till lösenordslöst.”

Om det inte räcker att prata med anställda och göra säkerheten enklare för dem, kan CISO:er också experimentera med alternativa incitament. "Vi har faktiskt KPI-mått kring säkerhetskultur. Och vi förbereder oss till den grad att vi kommer att börja faktiskt påverka bonuspooler, där om din avdelning gör det bättre, ökar det din bonuspool över normen [. . .] och om du inte gör det, får du din bonus”, förklarade Creed.

Hur CISOs kan samarbeta bättre med andra chefer

Sedan är det styrelsen.

I sin undersökning frågade IDC CISO:er och deras andra CIO:er vad CISO:er faktiskt gör - som om de är fokuserade på strategisk arkitektur eller om jobbet är taktiskt till sin natur - och fann inte obetydliga avvikelser i svaren, vilket tyder på att även CISO:erna ' närmaste partner på C-nivå är inte helt på samma sida.

Creed påminde om ett sådant fall nyligen, där "Vi beställde några nya 737:or. Och det här är våra första e-anslutna flygplan. [Styrelsen] inkluderade mig inte i de tidigare samtalen, och sedan blev det en brandövning att alla nya e-anslutna flygplan har krav på cybersäkerhet — det är faktiskt, om du inte har en nätverkssäkerhetsplan godkänd och accepterad med FAA-registret förlorar du ditt luftvärdighetsbevis för dessa flygplan. Tror du att styrelsen, när de först började prata om att gå in på den här vägen "vi ska utöka flottan", ansåg att det kan finnas säkerhetskonsekvenser i det?"

"Så du måste utbilda dem och förklara för dem: det är därför vi behöver en plats vid bordet. I varje strategiskt beslut som fattas för verksamheten finns det risker. [. . .] Ju mer du inkludera oss vid en plats vid det bordet, desto bättre kan vi skydda verksamheten och väga in var den risken är i början snarare än en gång det blir en brand”, sa han.

För detta ändamål, i en intervju med Dark Reading, erbjöd Russ Trainor, senior vice president för informationsteknologi vid Denver Broncos, ett enkelt tips:

"Ibland kommer jag att vidarebefordra nyheter om intrången till min CFO: här är hur mycket data som exfiltrerades, här är hur mycket vi tror att det kostade", säger han. "Dessa saker tenderar att slå hem."

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/cybersecurity-operations/ciso-role-changing-can-cisos-keep-up