Оскільки кібербезпека стає дедалі важливішим фактором у прийнятті корпоративних рішень, було зроблено відповідний крок до підвищення ролі головного спеціаліста з інформаційної безпеки (CISO) до вищого рівня в виконавчій ієрархії. Аргументація, здається, така: «Якщо кіберважливий, то CISO мають бути важливими». Однак підвищення ролі робить CISO самотнім голосом у пустелі, який волає «безпека», мало пов’язаний із повсякденними особами, які приймають рішення в ІТ, інженерії чи продуктах.
Це призвело до деяких небажаних наслідків, наприклад, керівник Facebook вважав, що заходи безпеки компанії прийнятні. призвело до багатогодинних затримок у відповідь на його збій 4 жовтня 2021 року або керівник Uber, який окупилися хакери хто порушив його систему, замість того, щоб визнати порушення, або численні CISO, які інвестували в «додаткові рівні безпеки», замість того, щоб визнати, що спочатку зробили неправильний вибір. У всіх цих випадках ізоляція CISO від функціональних бізнес-підрозділів, безсумнівно, відіграла роль у тунельному мисленні, яке відображають ці рішення.
Організаційний вплив
Можливо, настав час переглянути роль CISO. Можливо, краще бачити важливість CISO, відображену в організаційному впливі, а не в організаційному статусі. Можливо, впровадження безпеки у функціональні блоки призведе до підвищення безпеки.
Уявіть CISO як частину екосистеми ІТ-організації. Вони братимуть участь у кожному рішенні щодо інфраструктури, і питання безпеки будуть невід’ємною частиною цих рішень, а не постфактум. Це дозволило б створити набір рішень «безпеки», заснованих на тому, як мережа структурована та керована, а не на спеціальних можливостях безпеки, вставлених в інфраструктуру сторонньою групою.
Уявіть собі експерта з безпеки, який працює в організації з розробки програмного забезпечення. Вони зможуть удосконалити процес розробки, щоб переконатися, що код написаний і перевірений з урахуванням безпеки, не обтяжуючи розробників процесами, які їм чужі, тим самим зменшуючи вразливі місця в коді компанії. Уявіть експерта з безпеки, вбудованого в лінійку продуктів. Вони зможуть переконатися, що корпоративна інфраструктура захищає їхню інтелектуальну власність і що процес розробки зменшує вразливі місця в їх продукті.
У всіх цих випадках безпека стає чинником корпоративних рішень, які базуються на реальних умовах корпоративної діяльності. Технічний досвід CISO стає невід’ємною частиною повсякденної роботи, а не обмеженням, що накладається на нього. Подібним чином безпека та відповідність повинні працювати безперебійно, щоб фінансові системи та комунікації з партнерами та постачальниками залишалися безпечними. Це стосується телекомунікаційних систем та іншого обладнання.
Фактор ризику
Здається, це більш ефективний спосіб зробити технічний аспект безпеки потужним голосом у діяльності компанії. Проте можна задатися питанням, чи зменшить це політичний вимір, балканізуючи його для задоволення особливих інтересів окремих функціональних підрозділів. Це занепокоєння можна вирішити, розширивши роль головного спеціаліста з ризиків, щоб включити функції політики безпеки, які зараз виконує CISO.
Це має перевагу у збереженні політики безпеки на рівні C, де їй приділяють необхідну увагу. Додаткова перевага полягає в тому, що ризик кібербезпеки розглядається в контексті інших ризиків (ризик для доступності, ризик для репутації, щоб розглянути випадки, наведені вище). Безпека більше не буде самоціллю, а одним із аспектів ведення бізнесу. Це не означає, що безпека має боротися з іншими проблемами та робити пристосування, які ставлять під загрозу безпеку організації. Навпаки, це створює середовище, яке змінює менталітет або/або на той, який прагне задовольнити всі вимоги.
Існує багато технологій контролю доступу, які могли б ефективно захистити Facebook, не блокуючи його власний персонал. Коли ризик безпеки розглядається разом із ризиком доступності, з’являться більш прагматичні рішення.
