O que mantém os CISOs acordados à noite? E onde é que os CISO se devem concentrar para trazer valor ao negócio? Como é que as prioridades devem mudar, dada a proliferação de ciberataques que ameaçam perturbar as empresas em todo o mundo?
Para ajudar a eliminar algum do ruído, fizemos uma parceria com a Redmond Magazine para reunir os principais CISOs em uma discussão sobre os aspectos mais críticos da função. O painel incluiu:
- Chris Roberts, Hacker em Residência na Semperis e moderador da sessão
- Limor Kessem, CISO, CISM e Consultor Executivo de Segurança na Segurança da IBM
- James Azar, CISO em Confidencial
- Evan Francen, co-fundador da FRSecure e DIRECTOR EXECUTIVO da SecurityStudio
O debate permitiu retirar várias conclusões tácticas para os actuais e aspirantes a líderes de segurança. Mas estes três pontos foram os que mais se destacaram.
Estabelecer o seunosso lugar na C-suite C-suite
Agora que CISOs estão a tomara os seus relativamente novo lugar entre os directores executivos, precisam de adquirir um conjunto diferente de competências para envolverem-se efectivamente com os líderes empresariais e as partes interessadas.
Tal como Kessem salientou, apesar de ter um título de nível C, o CISO ainda reporta frequentemente a jusante e não está bem representado na cadeia. Falar com a direcção da empresa começa por garantir que o CISO seja reconhecido: "Em primeiro lugar, sentar-se com os executivos e com os membros do conselho de administração. Mcertifique-se de que que existe existe um lugar lá para o CISO."
Obter o reconhecimento da liderança empresarial também significa encontrar a intersecção entre o mundo empresarial se cruza com a segurança.
- Hcomo é que as ameaças à segurança se traduzem em tempo de inactividade, custosou danos no preço das acções? Discutir o que o segurança está a fazer nestes termos e quais os recursos necessários para atingir os seus objectivos.
- Como é que os objectivos de segurança sese alinham com os objectivos comerciais? O CISO pode beneficiar se pensar como um vendedor em todos os momentos e fazer da segurança um factor de desenvolvimento da empresa e não apenas uma despesa. Pode melhor segurança aumentar as margens ou garantir o sucesso num fluxo de receitas específico? Em termos comerciais, ecada esforço despendido precisa de fornecer valor. A simples protecção contra perdas não é suficiente.
- Que linguagem se adequa à sua organização em particular, CEO, ou conselho de administração? Nem todos os conselhos de administração falam a mesma língua. O CISO precisas estabelecer relacionamentos com cada decisor, assegurar que existe confiança entre eles, e untender quais preocupações são as mais importantes com cada indivíduo.
O nosso painel concordou que os CISO - e os aspirantes a CISO - podem beneficiar da compreensão do negócio mesmo antes de abordarem a segurança. Fazer um curso de MBA empresarial ou uma formação sobre o papel do CTO, CFO e CEO pode ajudá-lo a compreender os seus desafios e a ter mais sucesso no seu próprio papel.
Colocar as pessoas à frente das ferramentas
Encontrar o equilíbrio entre as ferramentas e as tecnologias e o humanos aspecto humano da segurança é outro desafio para os CISO.
De acordo com o nosso painel, as empresas tendem ainda a pensar na segurança como algo que podem comprar. No entanto, as equipas estão a começar a sofrer de esgotamento de ferramentas. Os CISO precisam de analisar criticamente o número de ferramentas que possuem e quantas estão estão a utilizar. Como é que pode aplicar ferramentas que já tem para outras utilizações?
De acordo com Francen, o melhor conselho que recebeu quando estava no início da sua carreira foi: "As pessoas que podem proteger melhor as suas coisas são as pessoas que conhecem intimamente as suas seus bens".
Enquanto nóse precisamos de tecnologianologia para capacitar as nossas equipas, complexidade é o inimigo. Simplificar a tecnologia é como os CISOs conseguem obter a adesão e tornar os bons hábitos de segurança enraizados na empresa cultura da empresa.
Tomar-e propagar-aresponsabilidade
O nosso painel concordou unanimemente que uma maior responsabilização - para cada profissional e a comunidade de cibersegurança como um todo - podepode fazer avançar a batalha contra os atacantes maliciosos.
Azar articulou-o bem: "Há vozes responsáveis que querem fazer o bem... E, no entanto, há uma série de vozes que andam por aí a criar FUD, desinformação, criando desafios. E infelizmente, o que acaba por acontecer é que as pessoas não sabem a quem dar ouvidos".
Em última análise, há hoje alguma dúvida sobre a responsabilidade. Wonde é que ela reside? Com o CISO/comprador? Com a indústria? Wquem exactamente é o mais conhecedor e fiável?
O lado positivo dos recentes ataques de grande visibilidade contra empresas como a SolarWinds, a CD Projekt, criadora do Cyberpunk 2077, e a estação de tratamento de águas de Oldsmar, na Florida, é o facto de terem tornado visíveis as principais questões de cibersegurança e de terem aumentado a responsabilidade geral. Esses incidentes trazem a conversa para o primeiro plano, mas os CISOs precisam garantir que ela permaneça lá.
Como o nosso painel discutiudos CISOs são responsáveis por fazer mais perguntas, partilhar maise ajudar as empresas de obras públicas e de infra-estruturas que não têm dinheiro melhorar a sua segurança. Precisamos de um movimento do sector para ajudar essas organizações, porque os ciberataques podem acontecer a qualquer entidadee nósprecisamos de mais colaboração em vez de apontar o dedo.
Estes três temas persistiram durante o resto do do debate, onde o painel CISO abordou questões como "O que é que faria nas suas primeiras semanas de trabalho como novo CISO?" "Já existe um perímetro?" e "Onde devem os profissionais investir tempo agora para se prepararem para serem CISOs em 2022 e mais além?"
Se tiver algumas destas questões, veja o debate completo aqui. Relacionado com este debate, Chris Roberts partilhou ideias sobre o motivo pelo qual o Active Directory é o calcanhar de Aquiles dos CISO com a Revista Security.
