Vai trò của giám đốc an ninh thông tin (CISO) đã được mở rộng trong thập kỷ qua nhờ chuyển đổi kỹ thuật số nhanh chóng. Giờ đây, CISO phải có định hướng kinh doanh nhiều hơn, chịu trách nhiệm nhiều hơn và giao tiếp hiệu quả với các thành viên hội đồng quản trị, nhân viên cũng như khách hàng, nếu không sẽ gặp rủi ro về lỗi bảo mật nghiêm trọng.
Trong một cuộc hỏi đáp báo chí rộng khắp tại CPX 2024 ở Las Vegas, một hội đồng gồm các CISO và phó chủ tịch (VP) của các tổ chức quốc tế đã thảo luận về cách chuyển đổi kỹ thuật số, áp lực lợi nhuận và sự thiếu nhận thức về bảo mật đã buộc phải thay đổi bản chất của vị trí của họ – nói chung, từ kỹ thuật đến kinh doanh và mang tính xã hội cao.
Họ gợi ý rằng ngày nay, sự khác biệt giữa một CISO hiệu quả - và nói rộng hơn là văn hóa bảo mật hiệu quả tại một tổ chức - nằm ở các kỹ năng giao tiếp nhẹ nhàng hơn cũng như việc giảm thiểu các lỗ hổng và xác định chính sách. Trên thực tế, những nhà lãnh đạo an ninh phát triển mạnh với cái sau nhưng lại thiếu cái trước sẽ khiến tổ chức của họ gặp phải những vi phạm lớn.
"Bạn hỏi về hậu quả?" Dan Creed, CISO tại Công ty Du lịch Allegiant, đã hỏi một cách khoa trương để trả lời câu hỏi của Dark Reading. “Hỏi SolarWinds xem hậu quả là gì. Họ có chính sách mật khẩu, một thực tập sinh không tuân theo chính sách mật khẩu, hãy xem hậu quả.”
Chuyển đổi kỹ thuật số đã biến đổi CISO như thế nào
Frank Dickson, phó chủ tịch chương trình sản phẩm an ninh mạng tại IDC, cho biết trong một cuộc họp báo CPX riêng vào ngày 10 tháng 6: “Vai trò của CISO đã thay đổi trong XNUMX năm qua và chúng tôi chưa bao giờ thực sự ngừng chú ý đến điều đó”.
Nhiều năm trước, vị trí này được tạo ra với trọng tâm rủi ro mạng tương đối hẹp mà nó vẫn gắn liền với ngày nay. Nhưng nó đã được mở rộng, trước hết nhờ vào việc mở rộng bề mặt tấn công của công ty. Các vi phạm điển hình được sử dụng để yêu cầu các lỗ hổng trong tài nguyên của công ty - hãy nghĩ đến Target, Ashley Madison, v.v. Ngày nay, đặc biệt là kể từ khi xảy ra dịch COVID, email, điện thoại và các thiết bị khác của nhân viên thay vào đó lại là rủi ro lớn nhất đối với các tổ chức. Vì trách nhiệm bảo mật thông tin đã trở thành trách nhiệm chung nên các CISO đã bị buộc phải rời khỏi nơi làm việc của mình.
Frank Dickson thông báo với báo chí về báo cáo mới của IDC; Nguồn: CPX
Chuyển đổi kỹ thuật số cũng đã chuyển CNTT từ góc khuất của nó sang thẳng lĩnh vực kinh doanh. Như Dickson đã chỉ ra, “Khoảng 40% tổng doanh thu của [Toàn cầu] 2000 vào năm tới sẽ đến từ các sản phẩm và dịch vụ kỹ thuật số. Vì vậy, điều đó làm thay đổi bản chất của CNTT từ nơi ấn định chi phí sang thứ đang trên đường tạo ra doanh thu. Và nếu bạn nghĩ về những gì nó làm, điều đó sẽ thay đổi cơ bản vai trò của CISO.” Các công ty ngày nay càng coi CNTT là động lực kinh doanh thì CISO càng cần được tích hợp nhiều hơn để không chỉ ngăn ngừa và giảm thiểu rủi ro mạng mà còn tư vấn cho hội đồng quản trị về các quyết định kinh doanh và gặp gỡ các nhà phát triển, nhân viên bán hàng và khách hàng.
Trách nhiệm ngày càng tăng đối với hoạt động kinh doanh của CISO đã được phản ánh trong một cuộc khảo sát của IDC được công bố tại CPX. Trong số 847 nhà lãnh đạo an ninh mạng được thăm dò, 10% tin rằng công việc quan trọng nhất của CISO là kỹ năng lãnh đạo và xây dựng nhóm, và 8% tin rằng đó là kỹ năng quản lý kinh doanh. Nhận thức và hiểu biết thực tế về an ninh mạng cũng như kỹ năng kỹ thuật và kiến trúc CNTT hầu như không nhận được nhiều phiếu bầu hơn với tỷ lệ 12% mỗi người.
Làm thế nào CISO có thể làm tốt hơn bởi nhân viên
Không chỉ đơn thuần là CISO nên với tư cách là doanh nhân - họ cần phải làm vậy. “Hậu quả của việc không thiết lập những mối quan hệ đó là bạn có được văn hóa ở công ty là 'Chà, đó không phải trách nhiệm của tôi.' Giống như SolarWinds và MGM. Họ đặt lại MFA của mình chỉ bằng một cuộc gọi tới Bộ phận trợ giúp, mặc dù họ không hiểu hoặc không nhận ra hậu quả của việc không có nhận thức về bảo mật,” Creed giải thích.
Sự tinh tế trong lập luận của Creed - được những người khác tại hội nghị bàn tròn lặp lại - là điều quan trọng. Họ nhấn mạnh, việc ngăn chặn các sai sót an ninh của nhân viên không chỉ đơn giản là vấn đề truyền bá nhận thức, bởi vì ngay cả những nhân viên hiểu biết cũng bỏ qua vấn đề an ninh khi mối quan hệ của họ với đội ngũ an ninh không lành mạnh hoặc khi việc vệ sinh đơn giản là quá nỗ lực.
“[Họ nói] an ninh nên được giấu đi. Tôi tiến thêm một bước nữa: bảo mật sẽ bôi trơn hoạt động kinh doanh và làm cho nó nhanh hơn,” Pete Nicoletti, CISO hiện trường tại Check Point, lặp lại triết lý phát triển của CISO hiện đại. Ông đưa ra VPN như một ví dụ về trường hợp các CISO lỗi thời, hạn chế thường làm chậm hoạt động kinh doanh. “Cái đó giữ email của tôi trong bao lâu: hai giây hay 10 giây? VPN mất bao lâu để đăng ký? Có phải [nhân viên] sẽ giải quyết vấn đề này vì phải mất 22 giây và xác thực? [Đó là về việc] cố gắng làm cho những thứ này trở nên minh bạch và dễ sử dụng nhất có thể. Hãy bắt đầu chọn những công cụ thực sự đẩy nhanh quá trình để bạn có được lợi thế cạnh tranh.”
“Một số sáng kiến đầu tiên mà tôi đang thực hiện chính xác là như vậy,” Creed tán thành. “Hãy rời khỏi VPN và chuyển sang chế độ luôn bật với máy tính xách tay của bạn, bạn bật nó lên, khởi động và bạn được kết nối với mạng của chúng tôi, quay trở lại ngăn xếp bảo mật của chúng tôi. Mục tiêu tiếp theo là chúng tôi hiện đang đặt nền tảng để chuyển sang không cần mật khẩu.”
Nếu nói chuyện với nhân viên và tạo điều kiện bảo mật dễ dàng hơn cho họ vẫn chưa đủ, thì CISO cũng có thể thử nghiệm các biện pháp khuyến khích thay thế. “Chúng tôi thực sự có các số liệu KPI xoay quanh văn hóa bảo mật. Và chúng tôi đã sẵn sàng đến mức chúng tôi sẽ bắt đầu thực sự tác động đến nhóm tiền thưởng, đến mức nếu bộ phận của bạn làm tốt hơn, điều đó sẽ làm tăng nhóm tiền thưởng của bạn trên mức định mức [. . .] và nếu bạn không làm như vậy thì nó sẽ ảnh hưởng đến phần thưởng của bạn,” Creed giải thích.
Làm thế nào CISO có thể cộng tác tốt hơn với các giám đốc điều hành
Sau đó là bảng.
Trong cuộc khảo sát của mình, IDC đã hỏi các CISO và các CIO đồng nghiệp của họ rằng CISO thực sự làm gì - chẳng hạn như liệu họ có tập trung vào kiến trúc chiến lược hay không, hay liệu công việc đó có mang tính chất chiến thuật hay không - và nhận thấy không có sự khác biệt đáng kể nào trong các câu trả lời, cho thấy ngay cả CISO cũng vậy. ' các đối tác cấp C gần nhất không hoàn toàn có cùng quan điểm.
Creed nhớ lại một trường hợp như vậy gần đây, “Chúng tôi đã đặt hàng một số chiếc 737 mới. Và đây là những chiếc máy bay kết nối điện tử đầu tiên của chúng tôi. [Hội đồng] đã không đưa tôi vào các cuộc trò chuyện trước đó và sau đó nó trở thành một cuộc tập trận rằng tất cả các máy bay kết nối điện tử mới đều có các yêu cầu về an ninh mạng - trên thực tế, nếu bạn không có kế hoạch an ninh mạng được phê duyệt và chấp nhận với FAA trong hồ sơ, bạn sẽ mất chứng nhận đủ điều kiện bay cho những chiếc máy bay đó. Bạn có nghĩ rằng hội đồng quản trị, khi họ lần đầu tiên bắt đầu nói về việc đi theo con đường 'chúng tôi sẽ mở rộng hạm đội', đã cân nhắc rằng việc đó có thể có những tác động về mặt an ninh không?”
“Vì vậy, bạn phải giáo dục họ và giải thích cho họ: đây là lý do tại sao chúng ta cần một chỗ ngồi tại bàn đàm phán. Mỗi quyết định chiến lược được đưa ra cho doanh nghiệp đều có rủi ro. [. . .] Bạn càng mời chúng ta ngồi vào chiếc bàn đó, thì chúng ta càng có thể bảo vệ doanh nghiệp tốt hơn và cân nhắc xem rủi ro đó bắt đầu ở đâu thay vì khi nó trở thành hỏa hoạn,” ông nói.
Để đạt được điều đó, trong một cuộc phỏng vấn với Dark Reading, Russ Trainor, phó chủ tịch cấp cao về công nghệ thông tin tại Denver Broncos, đã đưa ra một mẹo đơn giản:
“Đôi khi, tôi sẽ chuyển tiếp tin tức về các vi phạm tới CFO của mình: đây là lượng dữ liệu đã bị lấy cắp, đây là chi phí mà chúng tôi nghĩ là bao nhiêu,” anh nói. “Những thứ đó có xu hướng ập đến nhà.”
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/cybersecurity-operations/ciso-role-changing-can-cisos-keep-up
- : có
- :là
- :không phải
- :Ở đâu
- $ LÊN
- 10
- 2000
- 2024
- 22
- 7
- a
- Giới thiệu
- ở trên
- chấp nhận
- thực tế
- thực sự
- Lợi thế
- tư vấn
- cách đây
- máy bay
- như nhau
- Tất cả
- Ngoài ra
- thay thế
- an
- và
- phê duyệt
- kiến trúc
- LÀ
- đối số
- xung quanh
- AS
- xin
- liên kết
- At
- tấn công
- Xác thực
- nhận thức
- xa
- trở lại
- BE
- đã trở thành
- bởi vì
- trở nên
- trở thành
- được
- được
- Tin
- Hơn
- giữa
- bảng
- Thêm các lợi ích
- đáy
- vi phạm
- Cuộc họp
- kinh doanh
- nhưng
- by
- cuộc gọi
- CAN
- trường hợp
- Chứng nhận
- cfo
- thay đổi
- thay đổi
- Những thay đổi
- thay đổi
- kiểm tra
- chánh
- Trưởng phòng an ninh thông tin
- CISO
- hợp tác
- Tập thể
- giao tiếp
- Giao tiếp
- Các công ty
- công ty
- cạnh tranh
- Hội nghị
- trao
- kết nối
- hậu quả
- Hậu quả
- xem xét
- cuộc hội thoại
- Corner
- Doanh nghiệp
- Phí Tổn
- Covidien
- tạo ra
- văn hóa
- khách hàng
- không gian mạng
- An ninh mạng
- tối
- Đọc tối
- dữ liệu
- thập kỷ
- quyết định
- quyết định
- xác định
- Denver
- bộ
- bàn
- phát triển
- ĐÃ LÀM
- đã không
- sự khác biệt
- kỹ thuật số
- chuyển đổi kỹ thuật số
- do
- làm
- don
- tăng gấp đôi
- xuống
- điều khiển
- trình điều khiển
- lái xe
- Sớm hơn
- sớm nhất
- dễ dàng hơn
- dễ dàng
- lặp lại
- giáo dục
- Hiệu quả
- hiệu quả
- khác
- nhấn mạnh
- nhân viên
- cuối
- Kỹ Sư
- đủ
- thành lập
- Ngay cả
- Mỗi
- phát triển
- chính xác
- ví dụ
- giám đốc điều hành
- Mở rộng
- mở rộng
- thử nghiệm
- Giải thích
- Giải thích
- mở rộng
- FAA
- thực tế
- thất bại
- xa
- nhanh hơn
- đồng bào
- lĩnh vực
- Tập tin
- Lửa
- bị sa thải
- Tên
- VÒI
- Tập trung
- tập trung
- theo
- Trong
- buộc
- Cựu
- Forward
- tìm thấy
- Nền tảng
- thẳng thắn
- từ
- về cơ bản
- xa hơn
- tạo ra
- được
- nhận được
- Toàn cầu
- đi
- lớn nhất
- có
- Có
- có
- he
- khỏe mạnh
- giúp đỡ
- tại đây
- Thành viên ẩn danh
- cao
- Đánh
- Số lượt truy cập
- tổ chức
- Trang Chủ
- Độ đáng tin của
- HTTPS
- i
- IDC
- if
- bỏ qua
- hình ảnh
- tác động
- hàm ý
- quan trọng
- in
- Ưu đãi
- bao gồm
- Tăng
- lên
- chỉ ra
- thông tin
- bảo mật thông tin
- công nghệ thông tin
- khả năng phán đoán
- tầm thường
- thay vì
- tích hợp
- Quốc Tế
- Phỏng vấn
- trong
- tham gia
- isn
- IT
- ITS
- Việc làm
- chỉ
- Giữ
- Thiếu sót
- máy tính xách tay
- LAS
- Las Vegas
- đẻ
- các nhà lãnh đạo
- Lãnh đạo
- cho phép
- Lượt thích
- Hạn chế
- Dòng
- ll
- dài
- Xem
- thua
- thực hiện
- chính
- làm cho
- Làm
- quản lý
- nhiều
- Tháng Ba
- chất
- me
- Các thành viên
- chỉ đơn thuần là
- Metrics
- MFA
- Might
- giảm nhẹ
- hiện đại
- chi tiết
- hầu hết
- di chuyển
- chuyển
- nhiều
- my
- hẹp
- Thiên nhiên
- Cần
- mạng
- An ninh mạng
- không bao giờ
- Mới
- tin tức
- tiếp theo
- Để ý..
- tại
- Mục tiêu
- of
- cung cấp
- Cung cấp
- Nhân viên văn phòng
- on
- hàng loạt
- ONE
- khởi phát
- or
- cơ quan
- tổ chức
- Nền tảng khác
- Khác
- vfoXNUMXfipXNUMXhfpiXNUMXufhpiXNUMXuf
- ra
- kết thúc
- trang
- bảng điều khiển
- đặc biệt
- Đối tác
- Mật khẩu
- qua
- con đường
- triết lý
- điện thoại
- chọn
- kế hoạch
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- Điểm
- Chính sách
- điều luật
- hồ bơi
- Hồ bơi
- vị trí
- có thể
- Chủ tịch
- Chủ tịch
- nhấn
- áp lực
- ngăn chặn
- quá trình
- Sản phẩm
- chương trình
- bảo vệ
- Q & A
- câu hỏi
- nhanh
- hơn
- RE
- Reading
- sẵn sàng
- nhận ra
- có thật không
- nhận
- gần đây
- phản ánh
- mối quan hệ
- Mối quan hệ
- tương đối
- báo cáo
- đại diện
- yêu cầu
- Yêu cầu
- Thông tin
- phản ứng
- phản ứng
- trách nhiệm
- trách nhiệm
- Tiết lộ
- doanh thu
- Nguy cơ
- rủi ro
- Vai trò
- s
- Nói
- Nhân viên bán hàng
- tương tự
- nói
- nói
- giây
- an ninh
- Nhận thức an ninh
- cao cấp
- riêng biệt
- nghiêm trọng
- DỊCH VỤ
- thay đổi
- nên
- ký
- bạc màu
- silo
- Đơn giản
- đơn giản
- kể từ khi
- kỹ năng
- So
- Mạng xã hội
- SolarWinds
- một số
- một cái gì đó
- đôi khi
- nguồn
- tốc độ
- lan rộng
- ngăn xếp
- Bắt đầu
- bắt đầu
- quy định
- Bước
- Vẫn còn
- dừng lại
- ngay
- Chiến lược
- như vậy
- Bề mặt
- Khảo sát
- bàn
- Hãy
- mất
- nói
- Mục tiêu
- nhóm
- Kỹ thuật
- Công nghệ
- có xu hướng
- hơn
- Cảm ơn
- việc này
- Sản phẩm
- Dòng
- cung cấp their dịch
- Them
- tự
- sau đó
- Đó
- Kia là
- họ
- điều
- nghĩ
- điều này
- những
- Tuy nhiên?
- Phát triển mạnh
- Thông qua
- tip
- đến
- bây giờ
- quá
- công cụ
- TỔNG CỘNG
- theo truyền thống
- Chuyển đổi
- chuyển đổi
- minh bạch
- đi du lịch
- cố gắng
- XOAY
- hai
- điển hình
- hiểu
- sự hiểu biết
- us
- sử dụng
- đã sử dụng
- Vegas
- phó
- Phó Chủ Tịch
- phiếu
- VPN
- VPNs
- Lỗ hổng
- là
- we
- mặc
- cân
- TỐT
- là
- Điều gì
- khi nào
- liệu
- CHÚNG TÔI LÀ
- tại sao
- với
- Công việc
- năm
- năm
- Bạn
- trên màn hình
- zephyrnet