Společnosti jsou stále složitější. Útoky jsou nekonečné. Následky útoků jsou stále toxičtější. A přestože společnosti nadále investují velké množství peněz do defenzivních nástrojů, mnoho z nich se stále snaží chránit i proti běžným taktikám, jako je e-mailový phishing. Umělá inteligence mezitím slibuje, že povzbudí již odhodlanou globální hackerskou komunitu. Díky tomu je krajina nebezpečných hrozeb ještě zrádnější.
Mnoho společností se obrací na CISO, aby tyto výzvy zvládly. Ale úroveň autority, kterou dávají této roli, se velmi liší. Všechny podniky se nakonec musí bránit, detekovat a zotavit se z útoku. Úloha CISO při plnění těchto priorit se však mezi společnostmi značně liší. A často záleží na tom, kde se organizace na své růstové křivce nachází.
Odpovědnosti a pravomoci CISO by měly být v souladu s celkovými obchodními prioritami společnosti. To zahrnuje hodnotu připisovanou datovým zdrojům i míru rizika, které jsou společnosti ochotny podstoupit, když dojde k útoku. Jakákoli nerovnováha by mohla snížit bezpečnost organizace.
Proto je tak důležitá úzká koordinace mezi CISO a CIO. CIO jsou obvykle výše v organizaci, i když tomu tak není vždy. V každém případě musí znát úroveň vyspělosti kybernetické bezpečnosti své organizace. Teprve poté může CIO zmocnit CISO, aby přijal nezbytná opatření k plnění svých základních povinností.
Role CISO je každým dnem důležitější
Zde je to, co obchodní vedoucí potřebují vědět o úloze kybernetické bezpečnosti ve svých organizacích a typu lidí, které potřebují k vedení těchto bezpečnostních týmů, jak se společnost vyvíjí.
- Stupeň vyspělosti 1: V méně vyspělých organizacích jsou bezpečnostní týmy jednoduchými vykonavateli příkazů. Nemohou nezávisle nastavovat zásady napříč společností. IT tým často řeší mnoho každodenních povinností potřebných k udržení technologického prostředí v chodu. V této fázi společnosti obvykle ani nemají vyhrazené CISO. Místo toho se oddělení „kybernetické bezpečnosti“ skládá z několika technických pracovníků, kteří mohou například konfigurovat server. A často se hlásí k CIO na střední úrovni, možná dokonce CIO. V těchto organizacích se kybernetická bezpečnost stává snahou „zaškrtnout políčko“. Společnosti jsou obvykle menší, s koncentrovanější IT stopou. Jsou to také obvykle společnosti, které nejsou kotovány na burze. Na rozdíl od veřejných společností se nezodpovídají akcionářům, kteří stále více kladou důraz na kybernetickou bezpečnost. Soukromé společnosti se také méně zajímají o potřebu auditu svých systémů v reakci na regulační požadavky. Místo toho mají často přednost jiné cíle, jako je rychlý růst vašich prodejů. Ve skutečnosti jsou opatření kybernetické bezpečnosti, která zatěžují koncové uživatele, často překážkou tohoto cíle. Některé organizace se například mohou vzdát vícefaktorové autentizace kvůli přidané zátěži, kterou klade na uživatele.
Toto je cyklus zrání CISO
- Stupeň vyspělosti 2: Jak se vyvíjí podnikání, musí se vyvíjet i prostředí IT. Existuje více zaměstnanců, více pracovních postupů a více kontaktních bodů se zákazníky a dodavateli. Potenciální útočná plocha pro hackery se rozšiřuje. Najednou se kybernetická bezpečnost stává důležitější. Mnoho společností v této fázi jmenuje svého prvního CISO. Ale na této úrovni role často nezahrnuje pravomoc navrhnout a provést strategii. Místo toho jsou CISO obvykle techničtí odborníci. Mohou dokonce strávit nějaký čas kódováním po boku svých zaměstnanců. V této fázi společnost také začíná začleňovat odborné znalosti v oblasti dodržování předpisů. A mohou zavést funkce počátečního monitorování a auditu. Jak se bezpečnostní tým rozrůstá, propast mezi IT oddělením se začíná uzavírat. Nyní oba spolupracují na identifikaci oblastí, kde nesplňují bezpečnostní cíle. CISO a CIO nyní spolupracují častěji
- Stupeň vyspělosti 3: Postupem času potřebuje CISO autoritu a autonomii k implementaci bezpečnostních kontrol v celé organizaci. V této fázi má CISO více technologických funkcí. Je zodpovědný za obranu, detekci a zotavení z útoků. CISO mohou přivést specialisty v oblastech, jako je cloudová bezpečnost. Nebo mohou zavést nové funkce, jako je správa identity a přístupu. Na této úrovni CISO stále nepřijímá jednostranná rozhodnutí. Jiní vedoucí pracovníci jsou proti opatřením, o kterých se domnívají, že ovlivní produktivitu nebo naruší pracovní postupy. Přestože kybernetická bezpečnost nabyla na významu, vedení společnosti nadále kontroluje bezpečnostní tým. Mezitím se IT stalo samostatným týmem, který má za úkol dohlížet na základní infrastrukturu. Více se zabývají roztáčením serverů, zaváděním nových vývojových prostředí a řízením životního cyklu všech zahrnutých komponent. V nejlepších případech však CIO začne vnímat CISO jako důležitější protějšek. Nyní začínají pracovat jednotně, aby zajistili soulad cílů IT a bezpečnosti
- Stupeň vyspělosti 4: Zde získává CISO moc. CISO má přímý přístup k vedoucím pracovníkům a často se účastní strategických jednání s představenstvem, kde radí ohledně rizik kybernetické bezpečnosti a integrace bezpečnostních postupů do celkových obchodních strategií. Nyní se CISO zaměřuje více na řízení rizik. Spolupracujte s manažerským týmem na stanovení tolerance společnosti k riziku. A pak vytvořit vhodné zásady a postupy napříč společností, které to odrážejí. Mnoho CISO v této fázi zralosti například mluví s představenstvem o tom, jak může společnost začít využívat technologii AI a bránit se novým hrozbám, které přináší.
- Úroveň vyspělosti 5: Ve společnostech, které dosáhly této poslední fáze, bezpečnost a zbytek podnikání fungují v harmonii. Pravděpodobně se budou řídit principy bezpečného návrhu, kde je kybernetická bezpečnost zabudována do základu všeho, co společnost dělá. Kritické systémy jsou neustále testovány, aby bylo zajištěno, že je tým dokáže obnovit v případě incidentu. A všichni zaměstnanci obecně dodržují dobře zavedené zásady zabezpečení dat, jako je vícefaktorové ověřování.
Aplikujte tyto zásady
Když CISO pochopí, jak jejich role a odpovědnosti odrážejí kybernetickou vyspělost organizace, mohou se lépe připravit na to, co bude dál. A jak se budou vyvíjet vlastní dovednosti CISO, bude nutit podnik, aby vážněji zvážil svou digitální obranu.
Pokud jde o kybernetickou bezpečnost, neexistují dvě stejné společnosti. Každá společnost má jiný technologický zásobník a jiné priority. Veřejné společnosti budou mít velmi odlišné potřeby než soukromé. Malé podniky mají jiná omezení než velké podniky.
V důsledku toho musí CISO zůstat flexibilní a přizpůsobit se. Společnosti musí zvážit jedinečná rizika a odměny v každé fázi cyklu zrání. Porozuměním charakteristikám každé fáze mohou CIO a další obchodní vedoucí řádně vyškolit CISO k úspěchu.
Autor: Sergio Chicheri, Sales Manager Iberia ve společnosti Commvault
Čerpáme z těchto zdrojů: google.com, science.org, newatlas.com, wired.com, pixabay.com
