Търсене
Close this search box.

Ролята на CISO се променя

Какво се случва с лидерите в областта на сигурността, които не комуникират достатъчно добре сигурността? „Попитайте SolarWinds.“

Ролята на главния директор по информационна сигурност (CISO) се разшири през последното десетилетие благодарение на бързата цифрова трансформация. Сега CISO трябва да бъдат много по-ориентирани към бизнеса, да носят много повече шапки и да комуникират ефективно както с членовете на управителните съвети, така и със служителите и клиентите, в противен случай рискуват сериозни провали в сигурността.

В широк кръг въпроси и отговори за пресата на CPX 2024 в Лас Вегас, панел от CISO и вицепрезиденти (VP) на международни организации разговаряха за това как цифровата трансформация, натискът върху крайните резултати и липсата на осведоменост за сигурността са наложили промяна в естеството на техните позиции – в широк смисъл, от технически към делови и силно социални.

Днес, предположиха те, разликата между ефективния CISO – и, като следствие, ефективната култура на сигурност в организацията – е толкова в по-меките комуникационни умения, колкото и в намаляването на уязвимостите и определянето на политики. Всъщност лидерите в областта на сигурността, които се справят добре с вторите, но нямат достатъчно умения за първите, в крайна сметка излагат организациите си на сериозни нарушения.

„Питахте за последствията?“ Дан Крийд, CISO в Allegiant Travel Company, попита риторично в отговор на въпрос от Dark Reading. „Попитайте SolarWinds какви са последствията. Те са имали политика за паролите, един стажант не е спазил политиката за паролите, вижте какви са последствията“.

Как цифровата трансформация промени CISO

„Ролята на CISO се промени през последните 10 години и ние никога не сме спирали да я забелязваме“, заяви Франк Диксън, програмен вицепрезидент за продуктите за киберсигурност в IDC, на отделна пресконференция на CPX на 6 март.

Преди години длъжността беше създадена с относително тесен фокус върху киберриска, с който се свързва и днес. Но тя се разшири, на първо място благодарение на разширяването на повърхността на корпоративните атаки. Типичните пробиви изискваха уязвимости в корпоративните ресурси – спомнете си Target, Ashley Madison и други подобни. В днешно време, особено след COVID, вместо това най-голям риск за организациите представляват имейлите, телефоните и други устройства на служителите. Тъй като отговорността за информационната сигурност се превърна в колективна, CISO бяха принудени да излязат от своите изолирани помещения.

Цифровата трансформация също така премести ИТ от обособения им ъгъл, направо в бизнеса. Както посочи Диксън, „Около 40% от всички приходи на [Global] 2000 през следващата година ще се дължат на цифрови продукти и услуги. Така че това променя естеството на ИТ – от нещо, което намалява разходите, към нещо, което е на път да генерира приходи. И ако се замислите какво прави това, то коренно променя ролята на CISO.“ Колкото повече компаниите днес възприемат ИТ като движеща сила на бизнеса, толкова повече CISO трябва да бъдат интегрирани не само в предотвратяването и намаляването на киберрисковете, но и в консултирането на управителния съвет по отношение на бизнес решенията, както и в срещите с разработчици, търговци и клиенти.

Отговорностите на CISO, които все повече се насочват към бизнеса, бяха отразени в проучване на IDC, представено на CPX. От 847 анкетирани лидери в областта на киберсигурността 10% смятат, че най-важната задача на CISO са уменията за лидерство и изграждане на екипи, а 8% – уменията за управление на бизнеса. Действителната осведоменост и разбиране на киберсигурността, както и ИТ архитектурните и инженерните умения, са получили едва по 12% гласове.

Как CISO могат да се справят по-добре от служителите

Не само, че CISO могат да се развиват като бизнесмени – те трябва да го направят. „Последицата от неустановяването на тези взаимоотношения [е], че в компанията се създава култура на „Е, това не е моя отговорност“. Като SolarWinds и MGM. Те нулират MFA само с обаждане до Help Desk, въпреки че не разбират и не осъзнават последствията от липсата на осведоменост за сигурността“, обясни Крийд.

Финесът в аргумента на Крийд – повторен и от други участници в кръглата маса – е важен. Те подчертават, че предотвратяването на пропуски в сигурността от страна на служителите не е просто въпрос на разпространяване на осведоменост, защото дори и осведомените служители пренебрегват сигурността, когато отношенията им с екипа по сигурността не са здрави или когато хигиената е просто твърде трудна.

„[Те казват, че] сигурността трябва да бъде скрита. Аз правя още една крачка напред: сигурността трябва да смазва бизнеса и да го прави по-бърз“, казва Пийт Николети, полеви CISO в Check Point, повтаряйки развитата философия на съвременния CISO. Той предлага VPN мрежите като пример за това, къде ограничените, старомодни CISO традиционно забавят бизнеса. „За колко време се задържа електронната ми поща: за две секунди или за 10 секунди? Колко време отнема VPN услугата за регистриране? Дали [служителите] ще го заобиколят, защото отнема 22 секунди и удостоверяване? [Става въпрос за] опитите да ги направим възможно най-прозрачни и лесни за използване. Започнете да избирате инструменти, които действително ускоряват процеса, така че сега да имате конкурентно предимство.“

„Някои от най-ранните ми инициативи, които ръководя, са точно такива“, допълва Крийд. „Да се отдалечим от VPN и да преминем към принципа „винаги на линия“, при който с вашия лаптоп го включвате, запалвате го и сте свързани към нашата мрежа, преминавайки обратно през нашия стек за сигурност. Следващата цел е, че сега полагаме основите за преминаване към работа без парола.“

Ако разговорите със служителите и улесняването на сигурността за тях не са достатъчни, CISO могат да експериментират и с алтернативни стимули. „Всъщност имаме показатели за ключови показатели за ефективност (KPI), свързани с културата на сигурността. И се подготвяме до момента, в който ще започнем действително да влияем на бонусните фондове, така че ако вашият отдел се справя по-добре, това да увеличи бонусния ви фонд над нормата [. . .], а ако не се справяте, тогава това ще се отрази на бонуса ви“, обясни Крийд.

Как CISO могат да си сътрудничат по-добре с колегите си от ръководството

След това е бордът.

В своето проучване IDC попита CISO и техните колеги CIO какво всъщност правят CISO – например дали са фокусирани върху стратегическата архитектура, или работата им е тактическа по природа – и откри немалки разминавания в отговорите, което показва, че дори най-близките партньори на CISO на ниво C не са напълно на едно мнение.

Крийд си спомни за един такъв случай наскоро: „Поръчахме няколко нови самолета 737. И това са първите ни самолети с електронна връзка. [Бордът] не ме включи в по-ранните разговори, а след това се превърнах в пожарна команда, защото всички нови самолети с електронна връзка имат изисквания за киберсигурност – че всъщност, ако не разполагате с одобрен и приет от FAA план за мрежова сигурност в досието, губите сертификата си за летателна годност за тези самолети. Смятате ли, че бордът, когато за пръв път започна да говори за тръгване по този път „ще разширим флота“, е взел предвид, че това може да има последствия за сигурността?“

„Така че трябва да ги образовате и да им обясните: ето защо ни е необходимо място на масата. Във всяко стратегическо решение, което се взема за бизнеса, има риск. [Колкото повече ни включвате на тази маса, толкова по-добре можем да защитим бизнеса и да преценим къде е рискът в началото, а не след като се превърне в пожар“, каза той.

За тази цел в интервю за Dark Reading Ръс Трейнър, старши вицепрезидент по информационните технологии в Денвър Бронкос, предложи прост съвет:

„Понякога препращам новините за пробиви на моя финансов директор: ето колко данни са били ексфилтрирани, ето колко според нас е струвало“, казва той. „Тези неща обикновено се отразяват на хората.“

 

Източник: DARKReading

Подобни публикации

14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
14 април 2024

Критичен недостатък на Palo Alto Networks PAN-O...

Palo Alto Networks предупреждава, че критичен недостатък, засягащ с...
13 април 2024

Подъл скимер на кредитни карти, маскиран като б...

Изследователи в областта на киберсигурността са открили скимиращо у...
13 април 2024

На федералните агенции на САЩ е наредено да тър...

В четвъртък Агенцията за киберсигурност и инфраструктурна сигурност...
13 април 2024

Latrodectus продължава там, където QBot спря

Брокерите за първоначален достъп използват новия зловреден софтуер ...
12 април 2024

Oracle увеличава усилията си в областта на суве...

Техническият директор и председател на Oracle Лари Елисън очаква пр...
12 април 2024

Глобиха AWS с над 1 млрд. лева

Съдебните заседатели установиха, че AWS е нарушила правата на собст...
12 април 2024

Magecart са пионери в областта на устойчивата з...

Печално известната киберпрестъпна организация, занимаваща се със ск...
Бъдете социални
Още по темата
12/04/2024

Oracle увеличава усилията с...

Техническият директор и председател на Oracle...
09/04/2024

Спад на атаките с рансъмуер...

През 2023 г. секторът на ransomware...
25/03/2024

ООН прие резолюция за гара...

В четвъртък Общото събрание одобри първата...
Последно добавени
14/04/2024

MuddyWater приемат нов C2 и...

Иранският участник в заплахите, известен като...
14/04/2024

Критичен недостатък на Palo...

Palo Alto Networks предупреждава, че критичен...
13/04/2024

Подъл скимер на кредитни ка...

Изследователи в областта на киберсигурността са...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!