Нещодавнє засудження Джо Саллівана, головного спеціаліста з інформаційної безпеки (CISO) Uber, за те, що він не повідомив про витік даних компанії у 2016 році, для одних стало неприємною несподіванкою, а для інших — виправданим наслідком дій пана Саллівана.
Як колега з CISO та керівник інформаційної безпеки понад 30 років, я поважаю видатну кар’єру Саллівана і, водночас, повністю підтримую вирок. Салліван опинився перед етичною дилемою, перед якою рано чи пізно потрапляє більшість CISO. Те, як CISO вирішить впоратися з цією дилемою, може змінити чи зламати їхню кар’єру.
Які обов'язки CISO?
Роль і обов’язки CISO постійно розвиваються, і вони ще більше перевіряються завдяки зростаючому розголосу навколо великих порушень, таких як те, що спостерігається в Uber.
Для CISO, які розглядають, що ці нещодавні події означають для них, це відповідний час поставити три важливі запитання.
1) Яка моя відповідальність, як керівник служби безпеки, у разі порушення даних?
Хоча судовий процес над Uber, можливо, привернув увагу до ролі CISO, я не думаю, що це змінить відповідальність або відповідальність, пов’язану з цією роллю. Коли відбувається порушення, відповідальність CISO чітка: бути прозорим і надавати всю необхідну інформацію. Іноді таке розкриття вимагається регулюючими органами, а іноді воно просто вважається відповідальним розкриттям компанією своїм складовим.
Я не знаю, чи першою реакцією Саллівана було вжити правильних заходів і повідомити про порушення, як того вимагає закон. Враховуючи його довгу кар'єру, я сподіваюся, що так і було. Тим не менш, залежно від структури звітності в компанії, багато CISO можуть не мати останнього слова щодо того, чи розкриє компанія порушення. Як це часто буває, CISO може бути скасований і змушений знайти спосіб переосмислити порушення як щось інше, ніж порушення. Таке переосмислення може допомогти компанії уникнути потенційних негативних наслідків, зокрема регуляторних штрафів, витрат на відновлення (наприклад, надання послуг кредитного моніторингу постраждалим клієнтам), а також впливу на довіру клієнтів і репутацію компанії.
Порушення цілком правильно розглядається як неспроможність компанії захистити дані, які були порушені. Зрештою це також можна розглядати як провал CISO. Це породжує одвічні запитання: де зупиняються гроші? І хто несе остаточну відповідальність за порушення? Незважаючи на це, компанії непросто визнати чи розкрити.
Етична дилема CISO така: чи зберігаю я цілісність своєї ролі та дотримуюсь своєї відповідальності? Або я намагаюся переформулювати інцидент так, щоб моя компанія не понесла наслідків?
Я хотів би думати, що якби я був на місці Саллівана, я був би готовий залишити свою посаду, а не зраджувати цілісність своєї ролі та, чесно кажучи, довіру моїх виборців. Перефразовуючи президента США Гаррі С. Трумена, «кібербезпека припиняється з CISO».
2) Який план моєї компанії на випадок (а не якщо) нас порушують?
Як CISO постачальника засобів безпеки я надто добре знаю мотивацію та рішучість поганих акторів і національних держав. Я також розумію, з якими ризиками стикаються організації, стаючи жертвами нападу — організації повинні припустити, що вони будуть порушені. Що ви будете робити, коли це станеться?
Розгляд найгірших сценаріїв і наявність плану на випадок непередбачених ситуацій до того, як вас зламатимуть, можуть мінімізувати фінансові та операційні наслідки, коли ви це зробите. Яка ціна простою, якщо зловмисник вимкне службу підтримки клієнтів або роботу ланцюжка поставок у автономному режимі? Де ваші системи найбільш вразливі? Як подолати пошкодження та як швидко відновитися? Як ви повідомляєте про те, що сталося, вашим співробітникам, клієнтам і правлінню?
Генеральний директор та інші посадові особи компанії повинні активно працювати з CISO, щоб вирішити ці питання та розробити комплексний план, який буде готовий, коли станеться порушення. Негайні дії — і чесність — мають значення перш за все. Але такий план буде успішним лише в тому випадку, якщо він був заздалегідь розроблений, перевірений і відрепетирований.
3) Яка моя роль у раді директорів?
Найбільший стійкі компанії зобов'язуються забезпечити безпеку на вершині і проведіть його вниз через усі рівні організації. Це означає створення сильної культури кібербезпеки як у правління, так і у співробітників. Багатьом CISO, можливо, доведеться боротися з упередженнями правління, які кажуть, що «з нами цього ніколи не станеться» або «це все одно станеться, тож навіщо інвестувати в кібербезпеку».
Керуйте відносинами CISO як діловими відносинами
Один із способів для CISO покращити свої відносини з радою директорів – це служити мостом між технологіями та бізнесом. Нам потрібно показати правлінню, що ми керуємо кібербезпекою як бізнес-ризиком і узгоджуємося з продуктивністю, зростанням та іншими бізнес-цілями організації. Обов’язково використовуйте ділові терміни та результати, а не лише технічні абревіатури та поняття. Допоможіть відповісти на запитання «Чому мене це хвилює?» І якщо вам вдасться отримати ресурси від правління, важливо підготувати звіт, який пов’язує запитувані ресурси з бізнес-результатами та наслідками, які згодом відбулися.
З мого власного досвіду, щоб бути найбільш ефективним, важливо, щоб CISO підтримував стосунки з членами правління поза регулярними запланованими засіданнями. Це дає нам можливість краще зрозуміти, чого наші члени правління очікують від CISO, а також почати навчання ради. Зрештою, практика кібербезпеки полягає в управлінні ризиками, але правда полягає в тому, що ми ніколи не можемо повністю усунути ризик. Щоденні заголовки про порушення справи поставили кожного CISO на гаряче місце. CISO має складну роботу: вони повинні керувати повсякденним захистом своєї організації, водночас створюючи план дій для цієї неминучої атаки в майбутньому. Щоб успішно керувати та процвітати сьогодні на цій складній і критично важливій посаді, CISO потребує чесності та чесності.
