Какво не знаем за директора по ИТ сигурността

Ролята на лидера по ИТ сигурността често бива разбирана погрешно от ръководителите, членовете на борда и дори ИТ екипите – по начини, които оказват значително влияние върху организационната сигурност и рисковете.

Има много погрешни схващания относно ролята на директора по ИТ сигурността (CISO), което може да се дължи отчасти на факта, че тя е сравнително нова позиция в много организации, като повечето лидери по сигурността идват от света на ИТ дейностите.

Това води до убеждението, че CISO не са достатъчно запознати с бизнеса и „нямат място на масата на борда на директорите, когато говорим за това как да придвижим бизнеса напред“, казва Грегъри Тухил, директор на отдела CERT на Института за софтуерно инженерство към университета Карнеги Мелън. „Много от тези убеждения се коренят в погрешното схващане, че CISO не разбират бизнеса и трябва само да разбират само от технологии.“

Напротив, CISO са „мостът между бизнес-ръководството и технолозите“, подчертава Тухил, който беше първият CISO в правителството на САЩ, назначен през 2016 г.

Ролята на CISO „често бива погрешно разбрана от ръководителите, членовете на бордовете и дори собствените им екипи“ – и това може да попречи на сигурността, отбелязва Джон Алън, управляващ директор по технологии, медии и телекомуникации (TMT) в консултантската компания за киберсигурност MorganFranklin Cyber.

Ето някои погрешни схващания за CISO – и как те могат да се променят.

1. CISO са просто „отговорникът по сигурността“

Нещо, което лидерите по сигурността искат да разбираме ясно, е, че те не са там само за да променят пароли, да прилагат пачове и да настройват защитни стени. Днешните CISO обикновено нямат много общо с ежедневните операции. Тези хора се фокусират повече върху проблеми с „голямата картина“, като осигуряване на работни натоварвания и приложения в облака и инструменти за изкуствен интелект.

Освен това те понякога участват в стратегиите за сливания и придобивания, като оценяват състоянието на сигурността на потенциалната цел за придобиване, за да идентифицират всички рискове, които биха могли да повлияят на оценката, съответствието с нормативните изисквания или интеграцията в съществуващата компания.

„Съществува погрешно схващане, че денят на CISO се поглъща от реагиране на инциденти и информиране за възникващи заплахи“, отбелязва Кейти Дженкинс, изпълнителен вицепрезидент и CISO на Liberty Mutual Insurance. „Въпреки че, разбира се, има известно количество и от двете, времето на един отговорник по ИТ сигурността минава предимно в проактивно планиране, свързване със заинтересованите страни, за да разбере техните приоритети, да образова другите – и да образова себе си по този въпрос.“

Пейзажът в света на сигурността се променя толкова бързо, добавя Дженкинс, че CISO трябва да отдели време, за да бъде в крак с изследванията и да си общува с колеги за обмен на знания.

В допълнение към сигурността на инфраструктурата, ефективният CISO се фокусира върху сигурността на бизнеса, казват експертите. Това изисква разбиране как сигурността се вписва в бизнеса; не само концентрирането върху управлението на риска, но гарантирането на сигурност помага на компанията да върви напред, без да създава други проблеми.

Вместо да гледаме на лидерите по ИТ сигурността като на „технически изпълнители“, време е да гледаме на CISO като на стратегически бизнес-лидери, казват експерти от индустрията.

2. Сигурността е чисто техническа функция

Можете да имате най-добрите инструменти за киберсигурност в света, но ако Вашите служители все пак кликат върху фишинг връзки или използват слаби пароли за много профили, няма значение, че имате най-добрата технология. Ролята на CISO се развива и днес те трябва да играят много роли, служейки като психолози, преподаватели и дипломати, за да убедят хората, че сигурността е отговорност на всички.

Това е така, защото често никой не мисли за сигурността – докато не възникне проблем. Освен това ръководството може да не гледа на сигурността като на част от корпоративната култура. Експертите казват, че силният CISO прекарва толкова време в работа с хора, колкото и с инструменти.

„Хиляди пъти колегите предполагат, че денят ми се върти около конфигуриране на защитни стени или коригиране на уязвимости“, казва Сам Тейлър, CISO на фирмата за ресурси за сигурност LLC.org, добавяйки, че се сблъсква с проблема през цялото време. „В действителност около 70% от моята работа е управление на риска, комуникация и гарантиране, че сигурността се приема сериозно на изпълнително ниво. Прекарвам повече време в заседателните зали, отколкото в центровете за сигурност“, казва тя. „Лидерските екипи не се интересуват от технически жаргон; те се интересуват от риска във финансово отношение.“

Когато Тейлър обяснява, че недобрите мерки за сигурност могат да струват милиони на фирмата – в пропуснати приходи, правни такси и регулаторни глоби – тогава всички я слушат.

„Ролята се промени и CISO, които не се развиват, имат трудности да окажат реално въздействие“, казва тя. „Една компания може да има най-добрите инструменти за сигурност на пазара, но ако сигурността не е част от културата, пробиви пак се случват.“

„Все още има доста управителни съвети, както и бизнес-лидери, които все още гледат на киберсигурността като на ИТ функция, а не като на проблем с бизнес-риска“, казва Алън от MorganFranklin Cyber. „Мой колега от финансовия сектор отбеляза, че техният борд очаква заплахите за сигурността да бъдат разрешени чрез инструменти и софтуер, без да признават важността на управлението, обучението на служителите и културната промяна.“

Много хора смятат киберсигурността за технически проблем, съгласен е Флавио Виланустре, старши вицепрезидент по технологиите и глобален CISO на LexisNexis Risk Solutions. „Това е далеч от истината. Съвременните CISO са отговорни за всички аспекти на киберсигурността, далеч отвъд нейните технически компоненти и последици“, казва той.

Погрешните схващания относно ролята на CISO са крещящи в определени индустрии. Например в медиите и телекомуникациите сигурността често се разглежда като квадратче за отметка за съответствие или ИТ функция, а не като основен фактор за устойчивост на бизнеса, казва Алън. Той разказва разговор, който е имал с изпълнителен директор по сигурността в сферата на цифровите медии, който споделя, че лидерството е фокусирано върху спазването на регулаторните изисквания, но е пренебрегнало проактивните инвестиции в сигурността – докато мащабен пробив внезапно компрометира данните на абонатите.

„В технологичните компании сигурността понякога се третира като инженерен проблем, като ръководителите приемат, че екипите на DevOps могат да се справят със сигурността без специално управление“, отбелязва Алън. „Реалността е, че сигурността трябва да бъде интегрирана в бизнес-стратегията, от защитата на интелектуалната собственост в медиите до защитата на телекомуникационните мрежи срещу заплахи на държавно ниво“.

3. CISO имат пълен контрол върху киберсигурността

Много ръководители вярват, че наемането на CISO означава, че сигурността е контролирана. В интерес на истината киберсигурността е отговорност на целия бизнес, казва Алън. „Без междуфункционално сътрудничество въздействието на CISO остава ограничено. Много CISO често споделят истории за застъпничество за инициативи за сигурност, само за да срещнат съпротива от ръководството, което дава приоритет на удобството или краткосрочните финансови печалби пред дългосрочното намаляване на риска.“

Например, бивш клиент на Алън от компания от Fortune 500 му казва, че бюджетните ограничения и толерантността към бизнес-риска често имат предимство пред препоръките за сигурност. „Лидерите по сигурността трябва да се ориентират в подобни трудни компромиси и когато възникнат инциденти, те могат да бъдат несправедливо обвинени – дори ако техните препоръки не са били напълно изпълнени поради бизнес компромиси“, казва Алън.

Сходно погрешно схващане е, че много ръководители приемат, че CISO имат пълна автономия по отношение на стратегията за сигурност. Лидерите по сигурността обаче често работят в рамките на ограниченията на агресивни продуктови пътни карти, тесни бюджети и толерантност към рискове на ръководителите, казва той.

„В разговор с бивш CISO в бързо мащабираща се SaaS компания, тя описа трудността да се наложат по-строги мерки за сигурност, когато ръководството даде приоритет на скоростта към пазара пред практиките за сигурно кодиране”, разказва Алън. „По подобен начин в телекомуникациите екипите по сигурността могат да съветват за защита на критична инфраструктура, но крайните решения се влияят от бизнес-приоритетите, регулаторния натиск и изискванията на клиентите“.

Когато възникнат инциденти, CISO често биват сочени с пръст, дори когато препоръките им за сигурност не са били спазени.

4. Отговорността им е огромна

Има го и това погрешно схващане: щом е главен, отговорникът по ИТ сигурността не е служител на компанията, казва Тухил от SEI. Всъщност „огромният брой CISO не са посочени като служители на компании“.

Служителите и директорите са обхванати от застрахователната полица за директори и служители на компанията, казва той. Ако възникне голям пробив в киберсигурността и CISO не е покрит, той може да има лична отговорност. Тухил казва, че е изключително важно за CISO и кандидатите за CISO да попитат компанията дали ще бъдат обхванати от отделна политика, за да се обезщетят, когато действат в най-добрия интерес на компанията, така че да не бъдат съдени лично.

Хората не смятат, че CISO са изложени на риск от лична отговорност като част от своята работа, повтаря Виланустре. „Ролята на CISO не е освободена от предизвикателства, произтичащи от непрекъснато променящия се пейзаж на киберсигурността, тъй като рисковете и заплахите се развиват. Всъщност CISO стават лично отговорни за граждански и наказателни обвинения“.

Това вероятно е част от причините за краткото време на работа на CISO в дадена организация, който варира от 18 до 26 месеца, отбелязва Виланустре. „Това е много по-малко от средно петгодишния престой на останалите ръководители“.

5. CISO премахват риска

Съществува нереалистично очакване, че лидерът по сигурността трябва да може да спре всеки пробив, преди да се случи. Пробивите ще се случват. Истинската им работа, казват експертите по сигурността, е да минимизира въздействието, да поддържа системите устойчиви и да гарантира, че компанията ще се възстанови бързо след това.

„Хората често вярват, че CISO могат да спрат всички атаки, но това не може да бъде по-далеч от истината“, казва Рафай Балоч, главен изпълнителен директор и основател на консултантската компания за киберсигурност RedSecLabs.

Това произтича от погрешното схващане, че „киберсигурността е отговорност само на хора с длъжност в областта на киберсигурността, докато всъщност цялата организация служи като първа линия на защита“, казва Дженкинс от Liberty Mutual. „Всеки служител е отговорен“.

6. CISO са пречка за иновациите

Бизнес-лидерите често гледат на сигурността като на пречка и вярват, че CISO забавят иновациите с екстремни оценки на риска и изисквания за съответствие. От друга страна, много CISO твърдят, че всъщност помагат на бизнеса си да се движи по-бързо, като гарантира, че иновациите се случват сигурно.

Сигурността трябва да се разглежда като функция за цялата компания, която изисква подкрепа от всеки отдел, а CISO да не се третират като самотни защитници срещу кибер-заплахи.

Лидерите по сигурността често могат да бъдат възприемани като забавящи иновациите, според Алън. Това усещане е особено силно в някои индустрии.

„Мой колега от глобална платформа за стрийминг обясни как са се борили да внедрят по-силна сигурност на API, тъй като това се възприема като „ненужно забавяне“ на пускането на нови функции – докато уязвимостите на API не бъдат експлоатирани, засягайки милиони потребители“, казва Алън. „В действителност CISO не са против иновациите; те са там, за да осигурят устойчив растеж чрез вграждане на сигурността в усилията за дигитална трансформация“.

В много индустрии CISO трябва да балансират риска с бизнес-гъвкавостта, регулаторните изисквания с потребителското изживяване и киберсигурността с целите на корпоративните иновации, казва Алън. „Тяхната роля се простира отвъд техническия надзор – те трябва да бъдат стратегически партньори, които преодоляват пропастта между сигурността, разработването на продукти и бизнес-дейностите“.

7. CISO нямат проблеми с психичното здраве

Изглежда, че CISO могат да се справят със стреса на работата. Въпреки че организациите биват атакувани 24/7/365, мнозина смятат, че докато стигнете нивото на CISO, не е нужно да се тревожите за психичното си здраве, казва Тухил, наричайки това „порочен мит“.

Той силно насърчава CISO не само да разполагат с план за грижа за психичното здраве на своите екипи по сигурността, но и да имат „наистина, наистина добър заместник, готов да се намеси, за да можете да си вземете ваканция“. Той добавя: „Не можете да спечелите маратон, ако той никога не свършва. Трябва да се грижите за себе си и да сте постоянно наясно със собственото си психично здраве, а не само с хората, за които се грижите и които водите“.