چگونه یک CISO موفق باشیم

سال گذشته ، با نگاهی به بازخورد همکارانم در مورد توجه و تمرکز صنعت ، احساسات متفاوتی داشتم. یک سال بعد ، معلوم می شود که نتایج بررسی جدید ما (موجود در زیر) حتی جالب تر است.

اولین احساسی که هنگام مشاهده نتایج این دو مطالعه به دست می آورید این است: امنیت اطلاعات به طور کلی ، و حداقل نقش CISO ، به ویژه ، تقریباً با توجه به تقریباً 300 نفر از همتایان اطلاعات من در تجارت بیشتر و بیشتر اهمیت می یابد. قطعاً نشانه خوبی است. این واقعیت است که بیشتر و بیشتر پاسخ دهندگان "مدیریت ریسک" و سایر مهارتهای شغلی را در بین موارد اساسی برای نقش خود ذکر کرده اند.

یک نکته وجود دارد که من نمی توانم با بسیاری از همکارانم موافقت کنم. برخی هنوز هم می گویند که شایستگی های فنی و دانش صمیمی در سیستم های IT شرکت های بزرگ ، مهارت های کلیدی در کار و توسعه بیشتر آنها هستند. به نظر من ، اگرچه دانش فنی شرط اصلی یک CISO است – و حتی اگر CISO نیاز به مکالمه با فن آوری های جدید داشته باشند – صنعت باید درک کند که سیستم های مدرن فناوری اطلاعات بسیار پیچیده برای CISO ها ، حتی بالقوه نیز هستند. تصویر کامل ، از نظر فنی.

علاوه بر این ، سیستم های اطلاعاتی پیشرفته تر می شوند (که اکثر پاسخ دهندگان انتظار دارند). بنابراین ، مهارت های فنی CISO ، هر چند مهم است ، در توسعه مهارت هایی مانند مدیریت ریسک ، مدیریت تیم مؤثر و ارتباطات تجاری ثانویه است. امروزه ، کارکنان اهمیت زیادی دارند.

مردم را می فهمند ، نه سیستم ها

در واقع ، هم سیستم های اطلاعات فناوری اطلاعات و هم فناوری های امنیتی اکنون به اندازه کافی پیشرفته هستند که بتوانند متخصصان بسیار تخصصی را برای تصمیم گیری های مهم در تجارت آزاد کنند. البته این تغییر اعتماد به تیم را حتی مهمتر از همیشه می کند. از یک طرف ، رئیس بخش امنیت اطلاعات باید بتواند به متخصصان تیم اعتماد کند. از طرف دیگر ، آنها نیز باید به قضاوت و تصمیمات CISO اعتماد کنند – نه کورکورانه و بدون توانایی ابراز عقاید خود ، بلکه با یک علت مشترک و احترام حرفه ای متقابل.

به گفته پاسخ دهندگان ، برنده شدن بودجه افزایش می یابد برای تهیه سیستم گاهی اوقات آسانتر از استخدام متخصصان بیشتر در زمینه امنیت اطلاعات است. خرید هرچه بیشتر سیستم های جدید براق ممکن است بسیار عالی به نظر برسد ، اما شناسایی مهارت ها و مهارت های کلیدی لازم برای متخصصان داخلی و مواردی که می توانند برون سپاری کنند ضروری است. در حقیقت ، با توجه به کمبود متخصصان در بازار ، فکر می کنم ایده خوبی است که برون سپاری را فرصتی برای گسترش توانایی های بخش و پاسخگویی سریعتر به نیازهای تجاری بدانیم.

از پاسخ حادثه گرفته تا مدیریت ریسک

اگرچه نقش CISO برای ذینفعان اصلی – هیئت مدیره یا مدیرعامل ، به عنوان مثال – مانند گذشته ، اهمیت پیدا کرده است ، بیشتر اوقات پس از اتفاقی که اتفاق افتاده است بیشتر آنها را برای کمک فراخوانی می کنند. (خوشبختانه ، به نظر می رسد این اتفاق بیشتر برای رقبا یا همکاران صنعت رخ داده است. تعداد حوادث یا زمان واکنش حادثه شاخص های اصلی هستند.

اینها یكی از عوامل مهم هستند ، اما در مفهوم سایبر ایمنی مدرن كاسپرسکی ، یك شركت با حمایت محافظت نمی شود و فقط یك كاهش تعداد حملات خسارت دیده را به حداقل می رساند. به سرعت در مورد حوادث تحقیق می کنید ، اما کسی که مشاغلش با وجود چنین حوادثی می تواند با موفقیت توسعه یابد.

ریسک های قابل تحمل و خسارات احتمالی قابل قبول از طریق حوادث برای شرکت های مختلف متفاوت است. بعضی مواقع برای رونق بخشیدن به اقدامات حراست برای رونق توسعه تجارت می پردازد. در شرایط دیگر ، این گزینه ای نیست. تعداد حوادث نمی تواند به عنوان معیار مطلق عملکرد IS باشد. اقدامات IS چگونه بر سرعت و هزینه پردازش وظایف تجاری تأثیر می گذارد نیز مهم است. بنابراین ، به نظر من ، CISO بیش از هر چیز قادر به ارزیابی مناسب خطرات و ایجاد سیستم های امنیتی اطلاعاتی هستند که کاملاً با شرکت ها و فرآیندهای تجاری خود سازگار شده اند ، نه این که بیش از حد بر محافظت از حادثه تمرکز کند.

بیشتر وقت خود را با وكلا سپری كنید

یك مورد دیگر كه برای من برجسته بود ، پاسخ هایی در مورد اهمیت برقراری ارتباط با سایر ادارات داخل شركت بود. وکلا باید از اولویت بالاتری برخوردار باشند. امروزه ، پیچیدگی روزافزون سیستمهای IT و ارتباط آنها با سرویسهای خارج از یک سو و قوانین بین المللی از طرف دیگر بدان معنی است که نمی توان پیامدهای احتمالی قانونی تصمیمات متخصصان امنیت اطلاعات را نادیده گرفت.

پاسخ دهندگان تماس با وکلا را رتبه بندی کردند. در مقام چهارم – پس از مدیران مالی ، هیئت مدیره و همکاران بخش فناوری اطلاعات. من معتقدم حداقل باید تماس با وکلا بیشتر از تماس با مدیران مالی باشد. اگر امنیت اطلاعات را به عنوان ابزاری برای مدیریت ریسک مشاغل مشاهده می کنید ، این فقط منطقی است.

نظرسنجی داده های جالب تری ارائه می دهد ، بنابراین توصیه می کنم متن کامل را بخوانید. برای بارگیری این گزارش ، فرم زیر را پر کنید.