Cosa tiene svegli i CISO di notte? E dove dovrebbero concentrarsi i CISO per portare valore all'azienda? Come dovrebbero cambiare le priorità alla luce della proliferazione di attacchi informatici che minacciano di distruggere le aziende in tutto il mondo?
Per aiutarvi a superare un po' di rumore, abbiamo in collaborazione con la rivista Redmond per riunire i principali CISO in una discussione sugli gli aspetti più critici del ruolo. Il panel comprendeva:
- Chris Roberts, Hacker in Residence presso Semperis e moderatore della sessione
- Limor Kessem, CISO, CISM e consulente esecutivo per la sicurezza presso Sicurezza IBM
- James Azar, CISO a Riservato
- Evan Francen, cofondatore di FRSecure e CEO di SecurityStudio
Dalla discussione sono emersi diversi spunti tattici per gli attuali e aspiranti leader della sicurezza. Ma questi tre punti sono emersi in superficie.
Stabilite il vostroil nostro posto alla C-suite tavolo
Ora che CISO sono prendonoi propri loro relativamente nuovo relativamente nuovo posto nella C-suite, devono acquisire una serie di competenze diverse per poter impegnarsi efficacemente con i leader aziendali e gli stakeholder.
Come Kessem ha sottolineato, nonostante abbia un titolo di livello C, il CISO spesso riporta ancora a valle e non è ben rappresentato nella catena. Parlare con la leadership aziendale inizia assicurandosi che il CISO sia riconosciuto: "Prima di tutto, sedetevi con i dirigenti e con i membri del con i dirigenti e con i membri del consiglio di amministrazione. Massicurarsi che c'è è un posto a sedere per il per il CISO."
Ottenere il riconoscimento della leadership aziendale significa anche trovare l'intersezione tra il mondo mondo degli affari incontra la sicurezza.
- Home si comportano le minacce alla sicurezza si traducono in tempi di inattività, costio danni al prezzo delle prezzo delle azioni? Discutere che cosa il sicurezza sicurezza sta facendo in questi termini e di quali risorse ha bisogno per raggiungere i loro obiettivi.
- Come si allineano gli obiettivi di sicurezzacon gli obiettivi aziendali? Il CISO può trarre vantaggio dal pensare come un venditore in ogni momento e rendere la sicurezza un fattore di supporto al business piuttosto che una semplice spesa. Può migliorare sicurezza aumentare i margini o garantire il successo su uno specifico flusso di ricavi? In termini commerciali, eogni spesa di impegno deve fornire un valore. La semplice protezione dalle perdite non è sufficiente.
- Quale linguaggio si adatta alla vostra particolare organizzazione, CEO, o consiglio di amministrazione? Non tutti i consigli parlano la stessa lingua. Il CISO ha bisogno dis stabilire relaziones con ogni decisore, assicurarsi che ci sia fiducia tra loro, ecomprendere quali sono le preoccupazioni sono al centro dell'attenzione con ogni individuo.
Il nostro panel ha convenuto che i CISO e gli aspiranti CISO possono trarre vantaggio dalla comprensione del business prima ancora di affrontare la sicurezza. Seguire un corso di business MBA o una formazione sul ruolo del CTO, del CFO e del CEO può aiutarvi a capire le loro sfide e ad avere più successo nel vostro ruolo.
Mettere le persone prima degli strumenti
Trovare l'equilibrio tra gli strumenti e le tecnologie e l'uomo. umano asdella sicurezza è un'altra sfida per i CISO..
Secondo il nostro panel, le aziende tendono ancora a pensare alla sicurezza come qualcosa che si può comprare. Tuttavia, i team iniziano a soffrire di esaurimento degli strumenti. I CISO devono devono esaminare in modo critico quanti strumenti hanno e quanti ne stanno effettivamente utilizzando. effettivamente utilizzati. Come si può applicare applicare gli strumenti che già a ulteriori utilizzi?
Secondo Francen, il miglior consiglio che ha ricevuto quando era agli inizi della sua carriera è stato: "Le persone che possono proteggere meglio le loro cose sono quelle che conoscono intimamente le loro cose". cose".
Mentre we bisogno di tecnologiatecnologia per consentire abilitare i nostri i nostri team, complessità è il nemico. Semplificare la tecnologia è come CISO e rendere le buone abitudini di sicurezza radicate nell'azienda. azienda cultura aziendale.
Prendere-e propagare-aresponsabilità
Il nostro gruppo di esperti ha concordato all'unanimità che una maggiore responsabilità per ogni professionisti e per la comunità della sicurezza informatica nel suo complesso.può spostare l'ago della bilancia nella lotta contro gli aggressori malintenzionati.
Azar ha articolato bene il concetto: "Ci sono voci responsabili che vogliono fare del bene... Eppure ci sono un mucchio di voci là fuori che creano FUD, disinformazione/disinformazione, creando sfide. E purtroppo, quello che finisce per accadere è che la gente non sa a chi dare retta".
In definitiva, oggi ci sono dubbi sulla responsabilità. Wdove risiede? Con il CISO/acquirente? Con l'industria? Wchi esattamente è il più preparato e affidabile?
Il lato positivo dei recenti attacchi di alto profilo contro aziende come SolarWinds, CD Projekt, sviluppatore di Cyberpunk 2077, e l'impianto di trattamento delle acque di Oldsmar, in Florida, è che hanno reso visibili i problemi fondamentali della sicurezza informatica e hanno portato a una maggiore responsabilizzazione di tutti. Questi incidenti portano la conversazione in primo piano, ma i CISO devono assicurarsi che rimanga tale.
Come il nostro panel ha discussodi CISO hanno la responsabilità di fare più domande, condividere di piùe di aiutare le aziende di lavori pubblici e infrastrutture in difficoltà a migliorare la loro sicurezza. Abbiamo bisogno di un movimento di settore per aiutare queste organizzazioni, perché i cyberattacchi possono accadere a qualsiasi entità.e abbiamo bisogno di una maggiore collaborazioneabbiamo bisogno di una maggiore collaborazione invece di puntare il dito.
Questi tre temi sono rimasti per tutto il resto del del dibattito, dove il gruppo dei CISO ha affrontato domande come "Cosa fareste nelle vostre prime settimane di lavoro come nuovo CISO?" "Esiste ancora un perimetro?" e "Dove i professionisti dovrebbero investire tempo ora per prepararsi a diventare CISO nel 2022 e oltre?"
Se hai le stesse domande, guarda la discussione completa qui. In relazione a questa discussione, Chris Roberts ha condiviso le sue riflessioni sul perché Active Directory è il tallone d'Achille dei CISO con Security Magazine.