บทบาทของ CISO กำลังเปลี่ยนแปลง CISO สามารถตามทันได้หรือไม่?

บทบาทของประธานเจ้าหน้าที่รักษาความปลอดภัยข้อมูล (CISO) ได้ขยายออกไปในทศวรรษที่ผ่านมาด้วยการเปลี่ยนแปลงทางดิจิทัลอย่างรวดเร็ว ในปัจจุบัน CISO จะต้องมุ่งเน้นธุรกิจมากขึ้น สวมหมวกมากขึ้น และสื่อสารกับสมาชิกคณะกรรมการ พนักงาน และลูกค้าอย่างมีประสิทธิภาพ ไม่เช่นนั้นอาจเสี่ยงต่อความล้มเหลวด้านความปลอดภัยร้ายแรง

ในการถามตอบสื่อมวลชนที่หลากหลายที่งาน CPX 2024 ในลาสเวกัส คณะผู้บริหาร CISO และรองประธาน (VP) ขององค์กรระหว่างประเทศได้หารือกันเกี่ยวกับการเปลี่ยนแปลงทางดิจิทัล แรงกดดันด้านกำไร และการขาดความตระหนักรู้ด้านความปลอดภัย ได้กระตุ้นให้เกิดการเปลี่ยนแปลงในลักษณะของ ตำแหน่งของพวกเขาในวงกว้าง ตั้งแต่ด้านเทคนิคไปจนถึงเชิงธุรกิจ และในระดับสูงทางสังคม

วันนี้ พวกเขาแนะนำว่าความแตกต่างระหว่าง CISO ที่มีประสิทธิภาพ และวัฒนธรรมการรักษาความปลอดภัยที่มีประสิทธิผลในองค์กรนั้น มีความสำคัญพอๆ กับทักษะการสื่อสารที่นุ่มนวลขึ้น ในขณะเดียวกันก็ช่วยบรรเทาช่องโหว่และกำหนดนโยบายด้วย ในความเป็นจริง ผู้นำด้านความปลอดภัยที่ประสบความสำเร็จในสิ่งหลังแต่ขาดสิ่งแรกกลับทำให้องค์กรของตนเผชิญกับการละเมิดครั้งใหญ่

“คุณถามถึงผลที่ตามมาเหรอ?” Dan Creed, CISO ของ Allegiant Travel Company ถามเชิงวาทศิลป์เพื่อตอบคำถามจาก Dark Reading “ถาม SolarWinds ว่าผลที่ตามมาคืออะไร พวกเขามีนโยบายรหัสผ่าน ผู้ฝึกงานไม่ปฏิบัติตามนโยบายรหัสผ่าน โปรดดูผลที่ตามมา”

การเปลี่ยนแปลงทางดิจิทัลเปลี่ยนแปลง CISO อย่างไร

“บทบาทของ CISO เปลี่ยนไปในช่วง 10 ปีที่ผ่านมา และเราไม่เคยหยุดที่จะสังเกตเห็นมันเลย” Frank Dickson รองประธานโครงการด้านผลิตภัณฑ์ความปลอดภัยทางไซเบอร์ที่ IDC กล่าวในการแถลงข่าว CPX แยกต่างหากเมื่อวันที่ 6 มีนาคม

เมื่อหลายปีก่อน ตำแหน่งนี้ถูกสร้างขึ้นโดยเน้นไปที่ความเสี่ยงทางไซเบอร์ที่ค่อนข้างแคบซึ่งยังคงเกี่ยวข้องอยู่ในปัจจุบัน แต่มันถูกขยายออกไป ต้องขอบคุณประการแรกคือการขยายขอบเขตการโจมตีขององค์กรให้กว้างขึ้น การละเมิดทั่วไปเคยต้องการช่องโหว่ในทรัพยากรขององค์กร เช่น Target, Ashley Madison และอื่นๆ สมัยนี้โดยเฉพาะหลังโควิดก็เลย อีเมล โทรศัพท์ และอุปกรณ์อื่นๆ ของพนักงาน ที่แสดงถึงความเสี่ยงสูงสุดต่อองค์กรแทน เนื่องจากความรับผิดชอบด้านความปลอดภัยของข้อมูลกลายเป็นความรับผิดชอบร่วมกัน CISO จึงถูกบังคับให้ออกจากไซโลของตน

Frank Dickson บรรยายสรุปแก่สื่อมวลชนเกี่ยวกับรายงานใหม่ของ IDC ที่มา: CPX

การเปลี่ยนแปลงทางดิจิทัลได้ย้ายไอทีจากมุมเงียบ ๆ ไปสู่สายธุรกิจโดยตรง ดังที่ Dickson ชี้ให้เห็น “ประมาณ 40% ของรายได้ทั้งหมดสำหรับ [Global] 2000 ในปีหน้าจะถูกขับเคลื่อนโดยผลิตภัณฑ์และบริการดิจิทัล ดังนั้นสิ่งที่ทำคือเปลี่ยนธรรมชาติของไอทีจากผู้กำหนดต้นทุน เป็นสิ่งที่อยู่บนเส้นทางสู่การสร้างรายได้ และถ้าคุณคิดถึงสิ่งที่ทำ นั่นจะเปลี่ยนบทบาทของ CISO โดยพื้นฐาน” ยิ่งบริษัทต่างๆ ในปัจจุบันมองว่าไอทีเป็นตัวขับเคลื่อนธุรกิจ ยิ่งต้องบูรณาการ CISO มากขึ้น ไม่เพียงแต่การป้องกันและลดความเสี่ยงทางไซเบอร์เท่านั้น แต่ยังให้คำปรึกษาแก่คณะกรรมการเกี่ยวกับการตัดสินใจทางธุรกิจ และการพบปะกับนักพัฒนา พนักงานขาย และลูกค้า

ความรับผิดชอบที่ต้องเผชิญทางธุรกิจมากขึ้นของ CISO สะท้อนให้เห็นในการสำรวจของ IDC ที่เปิดเผยที่ CPX จากการสำรวจผู้นำด้านความปลอดภัยทางไซเบอร์ 847 คน 10% เชื่อว่างานที่สำคัญที่สุดของ CISO คือทักษะความเป็นผู้นำและการสร้างทีม และ 8% เชื่อว่าเป็นทักษะการจัดการธุรกิจ การรับรู้และความเข้าใจด้านความปลอดภัยทางไซเบอร์อย่างแท้จริง ตลอดจนสถาปัตยกรรมไอทีและทักษะด้านวิศวกรรม ได้รับคะแนนโหวตแทบจะไม่ได้รับเพิ่มขึ้นคนละ 12%

CISO สามารถทำงานได้ดีขึ้นโดยพนักงานได้อย่างไร

ไม่ใช่แค่ CISO เท่านั้น น่า เป็นสองเท่าของนักธุรกิจ - พวกเขาจำเป็นต้องทำ “ผลที่ตามมาของการไม่สร้างความสัมพันธ์เหล่านั้น [คือ] คุณได้รับวัฒนธรรมที่บริษัท 'เอาล่ะ มันไม่ใช่ความรับผิดชอบของฉัน' เช่นเดียวกับ SolarWinds และ MGM พวกเขารีเซ็ต MFA ของตนเพียงแค่โทรไปที่ Help Desk แม้ว่าพวกเขาจะไม่เข้าใจหรือตระหนักถึงผลที่ตามมาจากการไม่มีความตระหนักด้านความปลอดภัยก็ตาม” Creed อธิบาย

ความละเอียดอ่อนในการโต้แย้งของครีด ซึ่งสะท้อนโดยคนอื่นๆ ที่โต๊ะกลม เป็นสิ่งสำคัญ การป้องกันไม่ให้พนักงานล่มสลายด้านความปลอดภัยไม่ได้เป็นเพียงเรื่องของการกระจายความตระหนักรู้เท่านั้น พวกเขาเน้นย้ำ เพราะแม้แต่พนักงานที่มีความรู้ก็เพิกเฉยต่อความปลอดภัยเมื่อความสัมพันธ์กับทีมรักษาความปลอดภัยไม่แข็งแรง หรือเมื่อสุขอนามัยใช้ความพยายามมากเกินไป

“[พวกเขากล่าวว่า] ควรซ่อนการรักษาความปลอดภัยไว้ ฉันก้าวไปอีกขั้นหนึ่ง: การรักษาความปลอดภัยควรหล่อลื่นธุรกิจและทำให้เร็วขึ้น” Pete Nicoletti, Field CISO ที่ Check Point กล่าว ซึ่งสะท้อนถึงปรัชญาที่พัฒนาแล้วของ CISO สมัยใหม่ เขาเสนอ VPN เป็นตัวอย่างของการที่ CISO รุ่นเก่าที่มีข้อจำกัดทำให้ธุรกิจชะลอตัวตามธรรมเนียม “นั่นจะเก็บอีเมลของฉันไว้นานเท่าไร: สองวินาทีหรือ 10 วินาที? VPN ใช้เวลานานเท่าใดในการสมัคร? [พนักงาน] จะดำเนินการแก้ไขหรือไม่เนื่องจากใช้เวลา 22 วินาทีและการรับรองความถูกต้อง [It's about] พยายามทำให้สิ่งเหล่านี้โปร่งใสและใช้งานง่ายที่สุดเท่าที่จะเป็นไปได้ เริ่มเลือกเครื่องมือที่ช่วยเร่งกระบวนการให้เร็วขึ้น จนถึงจุดที่คุณมีความได้เปรียบทางการแข่งขัน”

“ความคิดริเริ่มแรกสุดของฉันบางส่วนที่ฉันกำลังขับเคลื่อนอยู่นั้นเป็นเช่นนั้น” Creed รอง “เลิกใช้ VPN และไปยังจุดที่แล็ปท็อปของคุณเปิดตลอดเวลา เมื่อคุณเปิดใช้งาน คุณเริ่มทำงานแล้ว และคุณเชื่อมต่อกับเครือข่ายของเรา และย้อนกลับไปผ่านกลุ่มการรักษาความปลอดภัยของเรา วัตถุประสงค์ต่อไปคือตอนนี้เรากำลังวางรากฐานเพื่อก้าวไปสู่ระบบไร้รหัสผ่าน”

หากการพูดคุยกับพนักงานและทำให้การรักษาความปลอดภัยง่ายขึ้นสำหรับพวกเขายังไม่เพียงพอ CISO ก็สามารถทดลองใช้สิ่งจูงใจอื่นได้เช่นกัน “จริงๆ แล้ว เรามีตัวชี้วัด KPI เกี่ยวกับวัฒนธรรมการรักษาความปลอดภัย และเรากำลังเตรียมพร้อมจนถึงจุดที่เรากำลังจะเริ่มส่งผลกระทบต่อกลุ่มโบนัส จนถึงจุดที่หากแผนกของคุณทำได้ดีกว่า จะเพิ่มกลุ่มโบนัสให้สูงกว่าปกติ [ - .] และถ้าคุณไม่ทำ มันก็จะเท่ากับโบนัสของคุณ” Creed อธิบาย

CISO สามารถทำงานร่วมกันได้ดีขึ้นกับเพื่อนผู้บริหารได้อย่างไร

แล้วก็มีกระดาน

ในการสำรวจ IDC ถาม CISO และ CIO อื่นๆ ของพวกเขาว่าจริงๆ แล้ว CISO ทำอะไร เช่น ไม่ว่าพวกเขาจะมุ่งเน้นไปที่สถาปัตยกรรมเชิงกลยุทธ์ หรืองานนั้นเป็นยุทธวิธีโดยธรรมชาติหรือไม่ และไม่พบความแตกต่างที่มีนัยสำคัญในการตอบสนอง ซึ่งบ่งชี้ว่าแม้แต่ CISO ' พันธมิตรระดับ C ที่ใกล้เคียงที่สุดไม่ได้อยู่ในหน้าเดียวกันโดยสิ้นเชิง

Creed เล่าถึงกรณีดังกล่าวกรณีหนึ่งเมื่อเร็ว ๆ นี้ โดยที่ "เราสั่งซื้อ 737 ใหม่จำนวนหนึ่ง และนี่คือเครื่องบินที่เชื่อมต่ออิเล็กทรอนิกส์ลำแรกของเรา [คณะกรรมการ] ไม่ได้รวมฉันไว้ในการสนทนาก่อนหน้านี้ และมันก็กลายเป็นการฝึกซ้อมว่าเครื่องบินที่เชื่อมต่ออิเล็กทรอนิกส์ใหม่ทั้งหมดมีข้อกำหนดด้านความปลอดภัยทางไซเบอร์ ที่จริงแล้วหากคุณไม่มีแผนการรักษาความปลอดภัยเครือข่ายที่ได้รับอนุมัติและยอมรับ FAA ที่อยู่ในไฟล์ คุณจะสูญเสียใบรับรองความสมควรเดินอากาศสำหรับเครื่องบินเหล่านั้น คุณคิดว่าคณะกรรมการเมื่อเริ่มพูดถึงการก้าวไปตามเส้นทาง "เราจะขยายกองเรือ" นี้ คิดว่าอาจมีผลกระทบด้านความปลอดภัยในเรื่องนี้หรือไม่?

“ดังนั้น คุณต้องให้ความรู้พวกเขา และอธิบายให้พวกเขาฟัง นี่คือสาเหตุที่เราต้องการที่นั่งที่โต๊ะ ในทุกการตัดสินใจเชิงกลยุทธ์ที่ทำเพื่อธุรกิจ ล้วนมีความเสี่ยงเข้ามาเกี่ยวข้อง - - .] ยิ่งคุณ. ให้พวกเรานั่งที่โต๊ะนั้นด้วยยิ่งเราสามารถปกป้องธุรกิจและชั่งน้ำหนักได้ว่าความเสี่ยงนั้นอยู่ที่จุดใดตั้งแต่แรกก็ยิ่งดี แทนที่จะกลายเป็นไฟไหม้” เขากล่าว

ในการให้สัมภาษณ์กับ Dark Reading Russ Trainor รองประธานอาวุโสฝ่ายเทคโนโลยีสารสนเทศของ Denver Broncos เสนอเคล็ดลับง่ายๆ:

“บางครั้ง ฉันจะส่งต่อข่าวการละเมิดไปยัง CFO ของฉัน: นี่คือจำนวนข้อมูลที่ถูกขโมย และนี่คือจำนวนเงินที่เราคิดว่ามันต้องเสียค่าใช้จ่าย” เขากล่าว “สิ่งเหล่านั้นมีแนวโน้มที่จะถึงบ้าน”

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/cybersecurity-operations/ciso-role-changing-can-cisos-keep-up