Търсене
Close this search box.

Какво се случва с лидерите в областта на сигурността, които не комуникират достатъчно добре сигурността? „Попитайте SolarWinds.“

Ролята на главния директор по информационна сигурност (CISO) се разшири през последното десетилетие благодарение на бързата цифрова трансформация. Сега CISO трябва да бъдат много по-ориентирани към бизнеса, да носят много повече шапки и да комуникират ефективно както с членовете на управителните съвети, така и със служителите и клиентите, в противен случай рискуват сериозни провали в сигурността.

В широк кръг въпроси и отговори за пресата на CPX 2024 в Лас Вегас, панел от CISO и вицепрезиденти (VP) на международни организации разговаряха за това как цифровата трансформация, натискът върху крайните резултати и липсата на осведоменост за сигурността са наложили промяна в естеството на техните позиции – в широк смисъл, от технически към делови и силно социални.

Днес, предположиха те, разликата между ефективния CISO – и, като следствие, ефективната култура на сигурност в организацията – е толкова в по-меките комуникационни умения, колкото и в намаляването на уязвимостите и определянето на политики. Всъщност лидерите в областта на сигурността, които се справят добре с вторите, но нямат достатъчно умения за първите, в крайна сметка излагат организациите си на сериозни нарушения.

„Питахте за последствията?“ Дан Крийд, CISO в Allegiant Travel Company, попита риторично в отговор на въпрос от Dark Reading. „Попитайте SolarWinds какви са последствията. Те са имали политика за паролите, един стажант не е спазил политиката за паролите, вижте какви са последствията“.

Как цифровата трансформация промени CISO

„Ролята на CISO се промени през последните 10 години и ние никога не сме спирали да я забелязваме“, заяви Франк Диксън, програмен вицепрезидент за продуктите за киберсигурност в IDC, на отделна пресконференция на CPX на 6 март.

Преди години длъжността беше създадена с относително тесен фокус върху киберриска, с който се свързва и днес. Но тя се разшири, на първо място благодарение на разширяването на повърхността на корпоративните атаки. Типичните пробиви изискваха уязвимости в корпоративните ресурси – спомнете си Target, Ashley Madison и други подобни. В днешно време, особено след COVID, вместо това най-голям риск за организациите представляват имейлите, телефоните и други устройства на служителите. Тъй като отговорността за информационната сигурност се превърна в колективна, CISO бяха принудени да излязат от своите изолирани помещения.

Цифровата трансформация също така премести ИТ от обособения им ъгъл, направо в бизнеса. Както посочи Диксън, „Около 40% от всички приходи на [Global] 2000 през следващата година ще се дължат на цифрови продукти и услуги. Така че това променя естеството на ИТ – от нещо, което намалява разходите, към нещо, което е на път да генерира приходи. И ако се замислите какво прави това, то коренно променя ролята на CISO.“ Колкото повече компаниите днес възприемат ИТ като движеща сила на бизнеса, толкова повече CISO трябва да бъдат интегрирани не само в предотвратяването и намаляването на киберрисковете, но и в консултирането на управителния съвет по отношение на бизнес решенията, както и в срещите с разработчици, търговци и клиенти.

Отговорностите на CISO, които все повече се насочват към бизнеса, бяха отразени в проучване на IDC, представено на CPX. От 847 анкетирани лидери в областта на киберсигурността 10% смятат, че най-важната задача на CISO са уменията за лидерство и изграждане на екипи, а 8% – уменията за управление на бизнеса. Действителната осведоменост и разбиране на киберсигурността, както и ИТ архитектурните и инженерните умения, са получили едва по 12% гласове.

Как CISO могат да се справят по-добре от служителите

Не само, че CISO могат да се развиват като бизнесмени – те трябва да го направят. „Последицата от неустановяването на тези взаимоотношения [е], че в компанията се създава култура на „Е, това не е моя отговорност“. Като SolarWinds и MGM. Те нулират MFA само с обаждане до Help Desk, въпреки че не разбират и не осъзнават последствията от липсата на осведоменост за сигурността“, обясни Крийд.

Финесът в аргумента на Крийд – повторен и от други участници в кръглата маса – е важен. Те подчертават, че предотвратяването на пропуски в сигурността от страна на служителите не е просто въпрос на разпространяване на осведоменост, защото дори и осведомените служители пренебрегват сигурността, когато отношенията им с екипа по сигурността не са здрави или когато хигиената е просто твърде трудна.

„[Те казват, че] сигурността трябва да бъде скрита. Аз правя още една крачка напред: сигурността трябва да смазва бизнеса и да го прави по-бърз“, казва Пийт Николети, полеви CISO в Check Point, повтаряйки развитата философия на съвременния CISO. Той предлага VPN мрежите като пример за това, къде ограничените, старомодни CISO традиционно забавят бизнеса. „За колко време се задържа електронната ми поща: за две секунди или за 10 секунди? Колко време отнема VPN услугата за регистриране? Дали [служителите] ще го заобиколят, защото отнема 22 секунди и удостоверяване? [Става въпрос за] опитите да ги направим възможно най-прозрачни и лесни за използване. Започнете да избирате инструменти, които действително ускоряват процеса, така че сега да имате конкурентно предимство.“

„Някои от най-ранните ми инициативи, които ръководя, са точно такива“, допълва Крийд. „Да се отдалечим от VPN и да преминем към принципа „винаги на линия“, при който с вашия лаптоп го включвате, запалвате го и сте свързани към нашата мрежа, преминавайки обратно през нашия стек за сигурност. Следващата цел е, че сега полагаме основите за преминаване към работа без парола.“

Ако разговорите със служителите и улесняването на сигурността за тях не са достатъчни, CISO могат да експериментират и с алтернативни стимули. „Всъщност имаме показатели за ключови показатели за ефективност (KPI), свързани с културата на сигурността. И се подготвяме до момента, в който ще започнем действително да влияем на бонусните фондове, така че ако вашият отдел се справя по-добре, това да увеличи бонусния ви фонд над нормата [. . .], а ако не се справяте, тогава това ще се отрази на бонуса ви“, обясни Крийд.

Как CISO могат да си сътрудничат по-добре с колегите си от ръководството

След това е бордът.

В своето проучване IDC попита CISO и техните колеги CIO какво всъщност правят CISO – например дали са фокусирани върху стратегическата архитектура, или работата им е тактическа по природа – и откри немалки разминавания в отговорите, което показва, че дори най-близките партньори на CISO на ниво C не са напълно на едно мнение.

Крийд си спомни за един такъв случай наскоро: „Поръчахме няколко нови самолета 737. И това са първите ни самолети с електронна връзка. [Бордът] не ме включи в по-ранните разговори, а след това се превърнах в пожарна команда, защото всички нови самолети с електронна връзка имат изисквания за киберсигурност – че всъщност, ако не разполагате с одобрен и приет от FAA план за мрежова сигурност в досието, губите сертификата си за летателна годност за тези самолети. Смятате ли, че бордът, когато за пръв път започна да говори за тръгване по този път „ще разширим флота“, е взел предвид, че това може да има последствия за сигурността?“

„Така че трябва да ги образовате и да им обясните: ето защо ни е необходимо място на масата. Във всяко стратегическо решение, което се взема за бизнеса, има риск. [Колкото повече ни включвате на тази маса, толкова по-добре можем да защитим бизнеса и да преценим къде е рискът в началото, а не след като се превърне в пожар“, каза той.

За тази цел в интервю за Dark Reading Ръс Трейнър, старши вицепрезидент по информационните технологии в Денвър Бронкос, предложи прост съвет:

„Понякога препращам новините за пробиви на моя финансов директор: ето колко данни са били ексфилтрирани, ето колко според нас е струвало“, казва той. „Тези неща обикновено се отразяват на хората.“

 

Източник: DARKReading

Подобни публикации

4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
3 октомври 2024

САЩ и техните съюзници издават ръководство за з...

Нови насоки от правителствени агенции в САЩ и съюзнически държави п...
3 октомври 2024

MITRE добавя смекчаващи мерки към модела на зап...

Във вторник (в България сряда )MITRE обяви пълната версия на модела...
3 октомври 2024

Пробив с нулев ден в Rackspace Sparks Vendor B...

Корпоративният хост за облачни услуги Rackspace е бил хакнат чрез н...
Бъдете социални
Още по темата
15/09/2024

Microsoft и Quantinuum комб...

Технологичният гигант Microsoft и водещият разработчик...
08/09/2024

Европа отвори вратата към у...

Представете си, че се премествате в...
29/08/2024

Злонамерен софтуер, доставе...

Наблюдавани са заплахи, които доставят зловреден...
Последно добавени
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
04/10/2024

Използвана уязвимост на Iva...

Тази седмица Ivanti и американската агенция...
04/10/2024

Холандското правителство об...

Министърът на правосъдието заяви пред депутатите,...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!