Was hält CISOs nachts wach? Und worauf sollten sich CISOs konzentrieren, um einen Mehrwert für das Unternehmen zu schaffen? Wie sollten sich die Prioritäten angesichts der zunehmenden Zahl von Cyberangriffen, die Unternehmen weltweit zu stören drohen, verschieben?
Um den Lärm etwas zu reduzieren, haben wir uns mit dem mit dem Redmond Magazine zusammengearbeitet, um führende CISOs zu einer Diskussion über die kritischsten Aspekte der Rolle. Das Podium gehörten an:
- Chris Roberts, Hacker in Residence bei Semperis und Moderator der Sitzung
- Limor Kessem, CISO, CISM & Sicherheitsberaterin für Führungskräfte bei IBM Sicherheit
- James Azar, CISO bei Vertraulich
- Evan Francen, Mitbegründer von FRSecure und CEO bei SecurityStudio
Aus der Diskussion ergaben sich mehrere taktische Anregungen für aktuelle und angehende Sicherheitsverantwortliche. Aber diese drei Punkte stachen besonders hervor.
Sichern Sie sichunseren Sitz in der C-Suite Tisch
Jetzt, wo CISOs sind nehmening ihre relativ neuen Platz in der C-Suite ein, müssen sie sich eine Reihe anderer Fähigkeiten aneignen damit sie effektiv zu engagieren mit Unternehmensführern und Stakeholdern.
Wie Kessem hervorhob, obwohl er einen Titel auf C-Level hat, berichtet der CISO oft nur nach unten und ist in der Kette nicht gut vertreten. Das Gespräch mit der Unternehmensführung beginnt damit, sicherzustellen, dass der CISO ist anerkannt wird: "Setzen Sie sich zuallererst mit den Führungskräften und den Vorstandsmitgliedern. Machte darauf dass es ist einen Sitzplatz dort für den CISO."
Die Anerkennung durch die Unternehmensführung zu gewinnen bedeutet auch, den Schnittpunkt zu finden, an dem die Geschäftswelt und Sicherheit.
- Hwie können Sicherheitsbedrohungen zu Ausfallzeiten führen, Kostenoder Schaden für den Aktienkurs? Diskutieren Sie was das Sicherheit Team tut unter diesen Bedingungen und welche Ressourcen sie benötigen um ihre Ziele zu erreichen.
- Wie passen die Sicherheitszielemit den Geschäftszielen überein? Der CISO kann davon profitieren, wie ein Verkäufer zu denken Verkäufer zu jeder Zeit und die Sicherheit zu einem Business Enabler und nicht nur zu einem Kostenfaktor zu machen. Kann besser Sicherheit die Gewinnspanne erhöhen oder den Erfolg sichern bei einer bestimmten Einnahmequelle? In geschäftlichen Begriffen, ejede Ausgabe von Aufwand einen Wert haben. Der bloße Schutz vor Verlust ist nicht genug.
- Welche Sprache passt zu Ihrer bestimmten OrganisationCEO, oder Vorstand? Nicht alle Vorstände sprechen die gleiche Sprache. Der CISO brauchts aufbauen Beziehungs mit jedem Entscheidungsträgern, sicherstellen, dass Vertrauen besteht zwischen ihnen, und understand was Anliegen im Vordergrund stehen bei jedem einzelnen.
Unsere Diskussionsteilnehmer waren sich einig, dass CISOs - und angehende CISOs - davon profitieren können, wenn sie das Geschäft verstehen, noch bevor sie sich mit der Sicherheit befassen. Ein MBA-Kurs oder eine Schulung über die Rolle des CTO, CFO und CEO kann Ihnen helfen, deren Herausforderungen zu verstehen und in Ihrer eigenen Rolle erfolgreicher zu sein.
Menschen vor Werkzeuge stellen
Das Gleichgewicht zwischen Tools und Technologien und dem Menschen asder Sicherheit ist eine weitere Herausforderung für CISOs.
Unserer Umfrage zufolge denken Unternehmen immer noch dazu, Sicherheit als etwas zu betrachten Sicherheit als etwas, das sie kaufen können. Allerdings, leiden die Teams allmählich an Tool-Erschöpfung. CISOs müssen einen kritischen Blick darauf werfen, wie viele Tools sie haben und wie viele sie tatsächlich nutzen. Wie können Sie Werkzeuge anwenden die Sie bereits haben, für zusätzliche Zwecke einsetzen?
Nach Aussage von Francen war der beste Ratschlag, den er je erhalten hat, als er noch ganz am Anfang seiner Karriere stand: "Die Leute, die ihre Sachen besser sichern können, sind die Leute, die ihre Sachen sehr gut kennen. Sachen kennen."
Während we Technik brauchennologie um ermöglichen unsere Teams, complexität ist der Feind. Die Vereinfachung der Technologie ist wie CISOs die Akzeptanz und die Verankerung guter Sicherheitsgewohnheiten im Unternehmen Kultur.
Nimm-und propagate-accountability
Unser Gremium war sich einig, dass mehr Verantwortlichkeit - für jeden Praktiker und die Cybersicherheitsgemeinschaft als Ganzesim Kampf gegen böswillige Angreifer den Ausschlag geben kann.
Azar hat es gut formuliert: "Es gibt verantwortungsbewusste Stimmen, die Gutes tun wollen ... Und doch gibt es einen Haufen Stimmen da draußen, die FUD, Fehlinformationen/Desinformationen verbreiten und Herausforderungen schaffen. Und leider, wissen die Menschen am Ende nicht, auf wen sie hören sollen."
Letztendlich stellt sich heute die Frage nach der Rechenschaftspflicht. Wwo liegt sie? Beim CISO/Einkäufer? Bei der Industrie? Wer genau ist der sachkundigste und vertrauenswürdigste?
Das Gute an den jüngsten Angriffen auf Unternehmen wie SolarWinds, den Cyberpunk 2077-Entwickler CD Projekt und die Wasseraufbereitungsanlage in Oldsmar, Florida, ist, dass sie die zentralen Probleme der Cybersicherheit sichtbar gemacht und zu mehr Verantwortlichkeit auf breiter Ebene geführt haben. Diese Vorfälle bringen das Thema in den Vordergrund, aber die CISOs müssen dafür sorgen, dass es dort bleibt.
Als unser Podiumsdiskussiondsind CISOs dafür verantwortlich mehr Fragen zu stellen, mehr zu teilenund helfen Unternehmen mit knappen Kassen, ihre Infrastruktur zu verbessern verbessern ihre Sicherheit zu verbessern. Wir brauchen eine Branchenbewegung, um diesen Organisationen zu helfen, denn Cyberangriffe können jede Organisation treffenund wirir brauchen mehr Zusammenarbeit statt Schuldzuweisungen.
Diese drei Themen zogen sich wie ein roter Faden durch den Rest der Debatte der Debatte, wo das CISO-Panel auf Fragen wie "Was würden Sie in den ersten Wochen Ihrer Tätigkeit als neuer CISO tun?" "Gibt es so etwas wie einen Perimeter überhaupt noch?" und "Wo sollten Praktiker jetzt Zeit investieren, um sich auf die Rolle des CISOs im Jahr 2022 und darüber hinaus vorzubereiten?"
Wenn Sie sich einige dieser Fragen stellen, können Sie sich die vollständige Diskussion hier ansehen. Im Zusammenhang mit dieser Diskussion teilte Chris Roberts seine Gedanken darüber, warum Active Directory die Achillesferse des CISO ist, mit dem Sicherheitsmagazin.