Vai trò của CISO đang thay đổi. Bản thân CISO có thể theo kịp không?

Vai trò của CISO đang thay đổi. Bản thân CISO có thể theo kịp không?

Dấu thời gian: Ngày 11 tháng 2024 năm 5 34:XNUMX CH

Vai trò của giám đốc an ninh thông tin (CISO) đã được mở rộng trong thập kỷ qua nhờ chuyển đổi kỹ thuật số nhanh chóng. Giờ đây, CISO phải có định hướng kinh doanh nhiều hơn, chịu trách nhiệm nhiều hơn và giao tiếp hiệu quả với các thành viên hội đồng quản trị, nhân viên cũng như khách hàng, nếu không sẽ gặp rủi ro về lỗi bảo mật nghiêm trọng.

Trong một cuộc hỏi đáp báo chí rộng khắp tại CPX 2024 ở Las Vegas, một hội đồng gồm các CISO và phó chủ tịch (VP) của các tổ chức quốc tế đã thảo luận về cách chuyển đổi kỹ thuật số, áp lực lợi nhuận và sự thiếu nhận thức về bảo mật đã buộc phải thay đổi bản chất của vị trí của họ – nói chung, từ kỹ thuật đến kinh doanh và mang tính xã hội cao.

Họ gợi ý rằng ngày nay, sự khác biệt giữa một CISO hiệu quả - và nói rộng hơn là văn hóa bảo mật hiệu quả tại một tổ chức - nằm ở các kỹ năng giao tiếp nhẹ nhàng hơn cũng như việc giảm thiểu các lỗ hổng và xác định chính sách. Trên thực tế, những nhà lãnh đạo an ninh phát triển mạnh với cái sau nhưng lại thiếu cái trước sẽ khiến tổ chức của họ gặp phải những vi phạm lớn.

"Bạn hỏi về hậu quả?" Dan Creed, CISO tại Công ty Du lịch Allegiant, đã hỏi một cách khoa trương để trả lời câu hỏi của Dark Reading. “Hỏi SolarWinds xem hậu quả là gì. Họ có chính sách mật khẩu, một thực tập sinh không tuân theo chính sách mật khẩu, hãy xem hậu quả.”

Chuyển đổi kỹ thuật số đã biến đổi CISO như thế nào

Frank Dickson, phó chủ tịch chương trình sản phẩm an ninh mạng tại IDC, cho biết trong một cuộc họp báo CPX riêng vào ngày 10 tháng 6: “Vai trò của CISO đã thay đổi trong XNUMX năm qua và chúng tôi chưa bao giờ thực sự ngừng chú ý đến điều đó”.

Nhiều năm trước, vị trí này được tạo ra với trọng tâm rủi ro mạng tương đối hẹp mà nó vẫn gắn liền với ngày nay. Nhưng nó đã được mở rộng, trước hết nhờ vào việc mở rộng bề mặt tấn công của công ty. Các vi phạm điển hình được sử dụng để yêu cầu các lỗ hổng trong tài nguyên của công ty - hãy nghĩ đến Target, Ashley Madison, v.v. Ngày nay, đặc biệt là kể từ khi xảy ra dịch COVID, email, điện thoại và các thiết bị khác của nhân viên thay vào đó lại là rủi ro lớn nhất đối với các tổ chức. Vì trách nhiệm bảo mật thông tin đã trở thành trách nhiệm chung nên các CISO đã bị buộc phải rời khỏi nơi làm việc của mình.

Frank Dickson thông báo với báo chí về báo cáo mới của IDC

Frank Dickson thông báo với báo chí về báo cáo mới của IDC; Nguồn: CPX

Chuyển đổi kỹ thuật số cũng đã chuyển CNTT từ góc khuất của nó sang thẳng lĩnh vực kinh doanh. Như Dickson đã chỉ ra, “Khoảng 40% tổng doanh thu của [Toàn cầu] 2000 vào năm tới sẽ đến từ các sản phẩm và dịch vụ kỹ thuật số. Vì vậy, điều đó làm thay đổi bản chất của CNTT từ nơi ấn định chi phí sang thứ đang trên đường tạo ra doanh thu. Và nếu bạn nghĩ về những gì nó làm, điều đó sẽ thay đổi cơ bản vai trò của CISO.” Các công ty ngày nay càng coi CNTT là động lực kinh doanh thì CISO càng cần được tích hợp nhiều hơn để không chỉ ngăn ngừa và giảm thiểu rủi ro mạng mà còn tư vấn cho hội đồng quản trị về các quyết định kinh doanh và gặp gỡ các nhà phát triển, nhân viên bán hàng và khách hàng.

Trách nhiệm ngày càng tăng đối với hoạt động kinh doanh của CISO đã được phản ánh trong một cuộc khảo sát của IDC được công bố tại CPX. Trong số 847 nhà lãnh đạo an ninh mạng được thăm dò, 10% tin rằng công việc quan trọng nhất của CISO là kỹ năng lãnh đạo và xây dựng nhóm, và 8% tin rằng đó là kỹ năng quản lý kinh doanh. Nhận thức và hiểu biết thực tế về an ninh mạng cũng như kỹ năng kỹ thuật và kiến ​​trúc CNTT hầu như không nhận được nhiều phiếu bầu hơn với tỷ lệ 12% mỗi người.

Làm thế nào CISO có thể làm tốt hơn bởi nhân viên

Không chỉ đơn thuần là CISO nên với tư cách là doanh nhân - họ cần phải làm vậy. “Hậu quả của việc không thiết lập những mối quan hệ đó là bạn có được văn hóa ở công ty là 'Chà, đó không phải trách nhiệm của tôi.' Giống như SolarWinds và MGM. Họ đặt lại MFA của mình chỉ bằng một cuộc gọi tới Bộ phận trợ giúp, mặc dù họ không hiểu hoặc không nhận ra hậu quả của việc không có nhận thức về bảo mật,” Creed giải thích.

Sự tinh tế trong lập luận của Creed - được những người khác tại hội nghị bàn tròn lặp lại - là điều quan trọng. Họ nhấn mạnh, việc ngăn chặn các sai sót an ninh của nhân viên không chỉ đơn giản là vấn đề truyền bá nhận thức, bởi vì ngay cả những nhân viên hiểu biết cũng bỏ qua vấn đề an ninh khi mối quan hệ của họ với đội ngũ an ninh không lành mạnh hoặc khi việc vệ sinh đơn giản là quá nỗ lực.

“[Họ nói] an ninh nên được giấu đi. Tôi tiến thêm một bước nữa: bảo mật sẽ bôi trơn hoạt động kinh doanh và làm cho nó nhanh hơn,” Pete Nicoletti, CISO hiện trường tại Check Point, lặp lại triết lý phát triển của CISO hiện đại. Ông đưa ra VPN như một ví dụ về trường hợp các CISO lỗi thời, hạn chế thường làm chậm hoạt động kinh doanh. “Cái đó giữ email của tôi trong bao lâu: hai giây hay 10 giây? VPN mất bao lâu để đăng ký? Có phải [nhân viên] sẽ giải quyết vấn đề này vì phải mất 22 giây và xác thực? [Đó là về việc] cố gắng làm cho những thứ này trở nên minh bạch và dễ sử dụng nhất có thể. Hãy bắt đầu chọn những công cụ thực sự đẩy nhanh quá trình để bạn có được lợi thế cạnh tranh.”

“Một số sáng kiến ​​​​đầu tiên mà tôi đang thực hiện chính xác là như vậy,” Creed tán thành. “Hãy rời khỏi VPN và chuyển sang chế độ luôn bật với máy tính xách tay của bạn, bạn bật nó lên, khởi động và bạn được kết nối với mạng của chúng tôi, quay trở lại ngăn xếp bảo mật của chúng tôi. Mục tiêu tiếp theo là chúng tôi hiện đang đặt nền tảng để chuyển sang không cần mật khẩu.”

Nếu nói chuyện với nhân viên và tạo điều kiện bảo mật dễ dàng hơn cho họ vẫn chưa đủ, thì CISO cũng có thể thử nghiệm các biện pháp khuyến khích thay thế. “Chúng tôi thực sự có các số liệu KPI xoay quanh văn hóa bảo mật. Và chúng tôi đã sẵn sàng đến mức chúng tôi sẽ bắt đầu thực sự tác động đến nhóm tiền thưởng, đến mức nếu bộ phận của bạn làm tốt hơn, điều đó sẽ làm tăng nhóm tiền thưởng của bạn trên mức định mức [. . .] và nếu bạn không làm như vậy thì nó sẽ ảnh hưởng đến phần thưởng của bạn,” Creed giải thích.

Làm thế nào CISO có thể cộng tác tốt hơn với các giám đốc điều hành

Sau đó là bảng.

Trong cuộc khảo sát của mình, IDC đã hỏi các CISO và các CIO đồng nghiệp của họ rằng CISO thực sự làm gì - chẳng hạn như liệu họ có tập trung vào kiến ​​trúc chiến lược hay không, hay liệu công việc đó có mang tính chất chiến thuật hay không - và nhận thấy không có sự khác biệt đáng kể nào trong các câu trả lời, cho thấy ngay cả CISO cũng vậy. ' các đối tác cấp C gần nhất không hoàn toàn có cùng quan điểm.

Creed nhớ lại một trường hợp như vậy gần đây, “Chúng tôi đã đặt hàng một số chiếc 737 mới. Và đây là những chiếc máy bay kết nối điện tử đầu tiên của chúng tôi. [Hội đồng] đã không đưa tôi vào các cuộc trò chuyện trước đó và sau đó nó trở thành một cuộc tập trận rằng tất cả các máy bay kết nối điện tử mới đều có các yêu cầu về an ninh mạng - trên thực tế, nếu bạn không có kế hoạch an ninh mạng được phê duyệt và chấp nhận với FAA trong hồ sơ, bạn sẽ mất chứng nhận đủ điều kiện bay cho những chiếc máy bay đó. Bạn có nghĩ rằng hội đồng quản trị, khi họ lần đầu tiên bắt đầu nói về việc đi theo con đường 'chúng tôi sẽ mở rộng hạm đội', đã cân nhắc rằng việc đó có thể có những tác động về mặt an ninh không?”

“Vì vậy, bạn phải giáo dục họ và giải thích cho họ: đây là lý do tại sao chúng ta cần một chỗ ngồi tại bàn đàm phán. Mỗi quyết định chiến lược được đưa ra cho doanh nghiệp đều có rủi ro. [. . .] Bạn càng mời chúng ta ngồi vào chiếc bàn đó, thì chúng ta càng có thể bảo vệ doanh nghiệp tốt hơn và cân nhắc xem rủi ro đó bắt đầu ở đâu thay vì khi nó trở thành hỏa hoạn,” ông nói.

Để đạt được điều đó, trong một cuộc phỏng vấn với Dark Reading, Russ Trainor, phó chủ tịch cấp cao về công nghệ thông tin tại Denver Broncos, đã đưa ra một mẹo đơn giản:

“Đôi khi, tôi sẽ chuyển tiếp tin tức về các vi phạm tới CFO của mình: đây là lượng dữ liệu đã bị lấy cắp, đây là chi phí mà chúng tôi nghĩ là bao nhiêu,” anh nói. “Những thứ đó có xu hướng ập đến nhà.”

Dấu thời gian:

Thêm từ Đọc tối