Vì an ninh mạng ngày càng trở thành một yếu tố được cân nhắc quan trọng trong quá trình ra quyết định của doanh nghiệp, nên đã có động thái tương ứng nhằm nâng cao vai trò của giám đốc an ninh thông tin (CISO) lên cấp cao hơn trong hệ thống phân cấp điều hành. Lý do có vẻ là “Nếu mạng quan trọng thì CISO cũng phải quan trọng”. Tuy nhiên, việc nâng cao vai trò khiến CISO trở thành tiếng nói đơn độc trong sa mạc kêu gọi “an ninh”, có rất ít mối liên hệ với những người ra quyết định hàng ngày về CNTT, kỹ thuật hoặc sản phẩm.
Điều này đã dẫn đến một số hậu quả không mong muốn, chẳng hạn như việc giám đốc điều hành Facebook cho rằng các biện pháp bảo mật của công ty là ổn. gây ra sự chậm trễ hàng giờ khi phản ứng với sự cố ngừng hoạt động vào ngày 4 tháng 2021 năm XNUMX hoặc giám đốc điều hành Uber đã trả tiền cho tin tặc người đã vi phạm hệ thống của anh ta thay vì thừa nhận vi phạm hoặc nhiều CISO đã đầu tư vào “các lớp bảo mật bổ sung” thay vì thừa nhận rằng ban đầu họ đã đưa ra những lựa chọn kém. Trong tất cả các trường hợp này, việc CISO bị cô lập khỏi các đơn vị kinh doanh chức năng chắc chắn đã đóng một vai trò nào đó trong đường hầm cho rằng những quyết định này phản ánh.
Tác động tổ chức
Có lẽ đã đến lúc phải hình dung lại vai trò của CISO. Có lẽ sẽ tốt hơn nếu thấy tầm quan trọng của CISO được phản ánh qua tác động của tổ chức hơn là tình trạng của tổ chức. Có lẽ việc đưa bảo mật vào các đơn vị chức năng sẽ mang lại bảo mật tốt hơn.
Hãy tưởng tượng CISO như một phần của hệ sinh thái tổ chức CNTT. Họ sẽ tham gia vào mọi quyết định về cơ sở hạ tầng và các mối lo ngại về an ninh sẽ không thể thiếu trong các quyết định đó thay vì được giải quyết sau đó. Điều này sẽ cho phép tạo ra một tập hợp các giải pháp “bảo mật” dựa trên cách cấu trúc và quản lý mạng, thay vì dựa trên các khả năng bảo mật đặc biệt được một nhóm bên ngoài đưa vào cơ sở hạ tầng.
Hãy tưởng tượng một chuyên gia bảo mật được bổ nhiệm vào tổ chức phát triển phần mềm. Họ sẽ có thể tinh chỉnh quy trình phát triển để đảm bảo mã được viết và kiểm tra với mục tiêu bảo mật mà không buộc các nhà phát triển phải thực hiện các quy trình xa lạ với họ, từ đó giảm các lỗ hổng trong mã của công ty. Hãy tưởng tượng một chuyên gia bảo mật được nhúng vào các dòng sản phẩm. Họ có thể đảm bảo cơ sở hạ tầng của công ty bảo vệ IP của họ và quá trình phát triển của họ sẽ giảm thiểu các lỗ hổng trong sản phẩm của họ.
Trong tất cả các trường hợp này, bảo mật trở thành một yếu tố trong các quyết định của công ty dựa trên thực tế hoạt động của công ty. Chuyên môn kỹ thuật của CISO trở thành một phần không thể thiếu trong công việc hàng ngày chứ không phải là một ràng buộc đối với nó. Tương tự như vậy, bảo mật và tuân thủ cần phải hoạt động trơn tru để hệ thống tài chính và thông tin liên lạc với các đối tác và nhà cung cấp được bảo mật. Điều này mở rộng cho các hệ thống viễn thông và phần cứng khác.
Yếu tố rủi ro
Đây có vẻ là một cách hiệu quả hơn để làm cho khía cạnh kỹ thuật của bảo mật trở thành một tiếng nói mạnh mẽ trong hoạt động của công ty. Tuy nhiên, người ta có thể tự hỏi liệu điều này có làm giảm bớt khía cạnh chính sách hay không, chia nhỏ nó để giải quyết các lợi ích đặc biệt của các đơn vị chức năng riêng lẻ. Mối quan tâm này có thể được giải quyết bằng cách mở rộng vai trò của giám đốc rủi ro để bao gồm các chức năng chính sách bảo mật hiện do CISO thực hiện.
Điều này có lợi ích là giữ chính sách bảo mật ở cấp độ C, nơi nó nhận được sự chú ý cần thiết. Nó còn có lợi ích hơn nữa là rủi ro an ninh mạng được xem xét trong bối cảnh các rủi ro khác (rủi ro về tính khả dụng, rủi ro về danh tiếng, để giải quyết các trường hợp trên). An ninh sẽ không còn là mục đích cuối cùng nữa mà là một khía cạnh của hoạt động kinh doanh. Điều này không có nghĩa là bộ phận bảo mật cần phải giải quyết vấn đề này với các mối quan tâm khác và tạo ra những điều chỉnh có thể làm tổn hại đến tình hình bảo mật của tổ chức. Đúng hơn, nó thiết lập một môi trường trao đổi tâm lý cái này/hoặc cái kia để lấy một môi trường tìm cách đáp ứng mọi yêu cầu.
Có rất nhiều công nghệ kiểm soát truy cập có thể bảo vệ Facebook một cách hiệu quả mà không cần khóa nhân viên của chính họ. Khi rủi ro bảo mật được xem xét cùng với rủi ro về tính khả dụng, những giải pháp thực dụng hơn đó sẽ xuất hiện.
