Начинът, по който CISO реагират на голям инцидент със сигурността, може да бъде решаващ за кариерата им. Въпреки че немалко лидери по сигурността се оказват заменени след рансъмуер атака, мнозина CISO откриват, че опитът им в реални киберинциденти – с прозрачни и успешни резултати – е все по-търсен на пазара на труда.
Неотдавнашно проучване подчертава този момент: 65% от лидерите по сигурността казват, че ръководенето на реакцията при инцидент е подобрило и „вдигнало“ вътрешната им репутация. Само 5% казват, че случаят е навредил.
Според проучване на Cytactic сред 480 висши лидери по киберсигурност в САЩ, включително 165 CISO, „добре управляваното реагиране при инциденти показва, че сигурността е бизнес-фактор, който защитава приходите, репутацията на марката и оперативната непрекъсваемост във времена на изключителен стрес. CISO, който успешно ръководи реагирането, повишава не само собствената си репутация – той подобрява и възприемането на цялостната програма за дигитална сигурност“.
„Добре управляваното реагиране при кибер-инцидент демонстрира устойчивост, компетентност и спокойствие при работа под напрежение, които са високо ценени от бордовете и главните изпълнителни директори,“ се добавя в анализа.
Майкъл Оберлендър, CISO с богат опит в различни предприятия, е изпитал лично този вътрешен тласък на уважението след успешна защита. „Когато говорех по време на срещи и повишавах – леко – гласа си, за да говоря, цялата стая замлъкваше и слушаше. Понякога бях изненадан и си мислех, че не съм достатъчно ясен в това, което казвам, и поглеждах в лицата на хората, за да видя дали разбират. Тогава осъзнавах, че те просто внимателно слушат следят мисълта ми“, казва той. „Ръководителите на бизнес-направления бяха по-отворени да чуят какво имам да кажа“.
Оберлендър, на когото е дадено „пълно право да подписва чековете по време на голямата криза“, също така е установил, че финансовият отдел е приемал исканията му по-сериозно след успеха му в защитата, казва той.
Консултантът по киберсигурност Брайън Ливайн, бивш американски федерален прокурор, който е изпълнителен директор на FormerGov и преди това е бил управляващ директор по киберсигурност в EY-Parthenon, твърди, че по-добрата бюджетна позиция е сериозно подобрение, което един CISO може да очаква след успешна защита. Тук не става дума за спечелването на някакво „ново възхищение към CISO“, по думите му; просто бизнесът осъзнава, че е имало голяма атака и са необходими подобрени защитни механизми.
За някои CISO проблемът е видимостта и комуникацията, казва Ливайн. Дава пример с предприятие, което е било засегнато от масивна рансъмуер атака. Благодарение на отличната предварителна работа на екипа на по ИТ сигурността нищо не е било загубено. Всичко е било перфектно подкрепено. Тогава защо CISO не е приветстван като герой?
„Той казваше на борда – и вероятно на своя изпълнителен директор – от месеци, че екипът му предотвратява около 50 000 атаки на ден. Така че, когато екипът му наистина предотвратява голяма атака, бордът просто свива рамене“, споделя Ливайн. CISO „някак си нормализират идеята, че компанията е постоянно подложена на атака. Това със сигурност е вярно, но затруднява борда да се развълнува от предотвратяването на една-единствена атака“.
Казаното от Ливайн потвърждава защо един лидер по сигурността трябва да преживее голям киберинцидент, за да спечели уважението на колегите си.
Този проблем с възприятието е „просто част от човешката природа; ако не виждаме лошото нещо да се случва, ние не оценяваме всички неща, които са били направени, за да се предотврати това лошо нещо,“ пояснява Джеф Полард, вицепрезидент и главен анализатор във Forrester. Разбира се, ако атаката се превърне в инцидент и защитата се развие зле, „тя лесно може да превърне CISO от герой в изкупителна жертва“, добавя Полард.
В исторически план „една умна компания не би наела новак на мястото на CISO, а човек, който е доказан в битки, наистина и истински опитен CISO с много десетилетия опит“, казва Оберландер. „Но за съжаление, в настоящия бизнес-климат се случва точно обратното. Компаниите наемат евтини, неопитни, неквалифицирани, некомпетентни и често наричани „виртуални“ CISO за част от заплатата на добрия такъв – и след това се чудят защо им се случват пробиви в данните и лошо управлявани инциденти“.
Междувременно някои експерти в индустрията предполагат, че лидерите по сигурността имат други начини за укрепване на позициите си в бизнес редиците – например, фокусирайки се върху финансовата стойност, която предоставят по отношение на спечелването и задържането на клиенти.
CISO „чувстват, че трябва да се борят с атаките, за да покажат каква стойност носят, но има много други успехи, които могат да постигнат и покажат“, казва Ерик Авакян, технически съветник в Info-Tech Research Group. „Изграждането на KPI е мощен начин да покажат своята стойност“.
„Покажете [на главния изпълнителен директор и другите ръководители] какво получават от тези инструменти по отношение на избягването на разходи“, казва Авакян. Той предлага филтрите за спам по имейл като лесен за разбиране пример. „Без тези филтри много повече имейли ще задръстят пощенските кутии на служителите и това ще доведе до по-малка ефективност“ и производителност.
Тези ръководители „разбират, когато им се говори в долари и центове“ и проблемът е, че твърде много CISO „не си правят труда да покажат действителната стойност в реални KPI до тези долари и центове“, заключава Авакиан.
