Какво се случва с лидерите в областта на сигурността, които не комуникират достатъчно добре сигурността? „Попитайте SolarWinds.“
Ролята на главния директор по информационна сигурност (CISO) се разшири през последното десетилетие благодарение на бързата цифрова трансформация. Сега CISO трябва да бъдат много по-ориентирани към бизнеса, да носят много повече шапки и да комуникират ефективно както с членовете на управителните съвети, така и със служителите и клиентите, в противен случай рискуват сериозни провали в сигурността.
В широк кръг въпроси и отговори за пресата на CPX 2024 в Лас Вегас, панел от CISO и вицепрезиденти (VP) на международни организации разговаряха за това как цифровата трансформация, натискът върху крайните резултати и липсата на осведоменост за сигурността са наложили промяна в естеството на техните позиции – в широк смисъл, от технически към делови и силно социални.
Днес, предположиха те, разликата между ефективния CISO – и, като следствие, ефективната култура на сигурност в организацията – е толкова в по-меките комуникационни умения, колкото и в намаляването на уязвимостите и определянето на политики. Всъщност лидерите в областта на сигурността, които се справят добре с вторите, но нямат достатъчно умения за първите, в крайна сметка излагат организациите си на сериозни нарушения.
„Питахте за последствията?“ Дан Крийд, CISO в Allegiant Travel Company, попита риторично в отговор на въпрос от Dark Reading. „Попитайте SolarWinds какви са последствията. Те са имали политика за паролите, един стажант не е спазил политиката за паролите, вижте какви са последствията“.
„Ролята на CISO се промени през последните 10 години и ние никога не сме спирали да я забелязваме“, заяви Франк Диксън, програмен вицепрезидент за продуктите за киберсигурност в IDC, на отделна пресконференция на CPX на 6 март.
Преди години длъжността беше създадена с относително тесен фокус върху киберриска, с който се свързва и днес. Но тя се разшири, на първо място благодарение на разширяването на повърхността на корпоративните атаки. Типичните пробиви изискваха уязвимости в корпоративните ресурси – спомнете си Target, Ashley Madison и други подобни. В днешно време, особено след COVID, вместо това най-голям риск за организациите представляват имейлите, телефоните и други устройства на служителите. Тъй като отговорността за информационната сигурност се превърна в колективна, CISO бяха принудени да излязат от своите изолирани помещения.
Цифровата трансформация също така премести ИТ от обособения им ъгъл, направо в бизнеса. Както посочи Диксън, „Около 40% от всички приходи на [Global] 2000 през следващата година ще се дължат на цифрови продукти и услуги. Така че това променя естеството на ИТ – от нещо, което намалява разходите, към нещо, което е на път да генерира приходи. И ако се замислите какво прави това, то коренно променя ролята на CISO.“ Колкото повече компаниите днес възприемат ИТ като движеща сила на бизнеса, толкова повече CISO трябва да бъдат интегрирани не само в предотвратяването и намаляването на киберрисковете, но и в консултирането на управителния съвет по отношение на бизнес решенията, както и в срещите с разработчици, търговци и клиенти.
Отговорностите на CISO, които все повече се насочват към бизнеса, бяха отразени в проучване на IDC, представено на CPX. От 847 анкетирани лидери в областта на киберсигурността 10% смятат, че най-важната задача на CISO са уменията за лидерство и изграждане на екипи, а 8% – уменията за управление на бизнеса. Действителната осведоменост и разбиране на киберсигурността, както и ИТ архитектурните и инженерните умения, са получили едва по 12% гласове.
Не само, че CISO могат да се развиват като бизнесмени – те трябва да го направят. „Последицата от неустановяването на тези взаимоотношения [е], че в компанията се създава култура на „Е, това не е моя отговорност“. Като SolarWinds и MGM. Те нулират MFA само с обаждане до Help Desk, въпреки че не разбират и не осъзнават последствията от липсата на осведоменост за сигурността“, обясни Крийд.
Финесът в аргумента на Крийд – повторен и от други участници в кръглата маса – е важен. Те подчертават, че предотвратяването на пропуски в сигурността от страна на служителите не е просто въпрос на разпространяване на осведоменост, защото дори и осведомените служители пренебрегват сигурността, когато отношенията им с екипа по сигурността не са здрави или когато хигиената е просто твърде трудна.
„[Те казват, че] сигурността трябва да бъде скрита. Аз правя още една крачка напред: сигурността трябва да смазва бизнеса и да го прави по-бърз“, казва Пийт Николети, полеви CISO в Check Point, повтаряйки развитата философия на съвременния CISO. Той предлага VPN мрежите като пример за това, къде ограничените, старомодни CISO традиционно забавят бизнеса. „За колко време се задържа електронната ми поща: за две секунди или за 10 секунди? Колко време отнема VPN услугата за регистриране? Дали [служителите] ще го заобиколят, защото отнема 22 секунди и удостоверяване? [Става въпрос за] опитите да ги направим възможно най-прозрачни и лесни за използване. Започнете да избирате инструменти, които действително ускоряват процеса, така че сега да имате конкурентно предимство.“
„Някои от най-ранните ми инициативи, които ръководя, са точно такива“, допълва Крийд. „Да се отдалечим от VPN и да преминем към принципа „винаги на линия“, при който с вашия лаптоп го включвате, запалвате го и сте свързани към нашата мрежа, преминавайки обратно през нашия стек за сигурност. Следващата цел е, че сега полагаме основите за преминаване към работа без парола.“
Ако разговорите със служителите и улесняването на сигурността за тях не са достатъчни, CISO могат да експериментират и с алтернативни стимули. „Всъщност имаме показатели за ключови показатели за ефективност (KPI), свързани с културата на сигурността. И се подготвяме до момента, в който ще започнем действително да влияем на бонусните фондове, така че ако вашият отдел се справя по-добре, това да увеличи бонусния ви фонд над нормата [. . .], а ако не се справяте, тогава това ще се отрази на бонуса ви“, обясни Крийд.
След това е бордът.
В своето проучване IDC попита CISO и техните колеги CIO какво всъщност правят CISO – например дали са фокусирани върху стратегическата архитектура, или работата им е тактическа по природа – и откри немалки разминавания в отговорите, което показва, че дори най-близките партньори на CISO на ниво C не са напълно на едно мнение.
Крийд си спомни за един такъв случай наскоро: „Поръчахме няколко нови самолета 737. И това са първите ни самолети с електронна връзка. [Бордът] не ме включи в по-ранните разговори, а след това се превърнах в пожарна команда, защото всички нови самолети с електронна връзка имат изисквания за киберсигурност – че всъщност, ако не разполагате с одобрен и приет от FAA план за мрежова сигурност в досието, губите сертификата си за летателна годност за тези самолети. Смятате ли, че бордът, когато за пръв път започна да говори за тръгване по този път „ще разширим флота“, е взел предвид, че това може да има последствия за сигурността?“
„Така че трябва да ги образовате и да им обясните: ето защо ни е необходимо място на масата. Във всяко стратегическо решение, което се взема за бизнеса, има риск. [Колкото повече ни включвате на тази маса, толкова по-добре можем да защитим бизнеса и да преценим къде е рискът в началото, а не след като се превърне в пожар“, каза той.
За тази цел в интервю за Dark Reading Ръс Трейнър, старши вицепрезидент по информационните технологии в Денвър Бронкос, предложи прост съвет:
„Понякога препращам новините за пробиви на моя финансов директор: ето колко данни са били ексфилтрирани, ето колко според нас е струвало“, казва той. „Тези неща обикновено се отразяват на хората.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.