Пять проблем CISO, с которыми необходимо столкнуться во все более рискованном мире

Директор по информационной безопасности (CISO) — это вершина карьеры в области информационной безопасности. Эта роль дает представление о стратегии информационной безопасности с высоты птичьего полета и тесно сотрудничает с руководителями высшего звена, такими как технический директор, ИТ-директор, главный операционный директор, финансовый директор и даже генеральный директор. Вознаграждение может быть щедрым. Директора по информационной безопасности в компаниях из списка Fortune 500 могут зарабатывать более 400 000 долларов. Это помимо всяких бонусов за производительность. Но нет большой награды без большой ответственности. Чтобы быть успешным в этой роли, CISO должен преодолеть множество проблем. Вот взгляд на некоторые из наиболее важных проблем CISO.

1. Сложные атаки

Каждый год мир делает значительный прогресс в области правил, стандартов и инструментов кибербезопасности. Но киберпреступники не останавливаются на достигнутом. Кибератаки, которые попали в новости за последние год или два, были намного масштабнее и изощреннее, чем те, что были всего пять лет назад. Когда происходит атака, неизбежно, что все взгляды в организации, начиная с правления, будут обращены к директору по информационной безопасности за ответами и указаниями.

Директора по информационной безопасности должны заняться защитой цифровых активов организации от таких атак. Это включает в себя планирование критически важных систем, создание надежного технического и процедурного контроля и регулярное заключение контрактов с этичными хакерами.

Не менее важно и то, что директора по информационной безопасности должны заранее учитывать ожидания заинтересованных сторон. От Twitter и CNN до PayPal и Uber ясно, что системы кибербезопасности мирового класса не гарантируют иммунитета. Правление и высшее руководство должны признать, что ни одна организация не застрахована от атак. Когда атака все же происходит, ответ, сдерживание и восстановление — это то, что будет играть наибольшую роль в выживании и перспективах организации.

2. Вовлечение всех сотрудников в курс кибербезопасности

Сложность технологической экосистемы даже в малом и среднем бизнесе не позволяет ИТ-специалистам и специалистам по кибербезопасности обеспечивать ее безопасность самостоятельно. Кроме того, большинство утечек данных не являются результатом упорного технического взлома, происходящего в тени. Человек — самое слабое звено. Таким образом, несмотря на наличие лучших систем кибербезопасности и команды, ничто из этого не будет иметь значения, если сотрудников не будет на борту.

Директора по информационной безопасности должны быть в авангарде повышения информированности и заинтересованности сотрудников. Этого лучше всего добиться, привлекая высший уровень организации к кампаниям по повышению осведомленности и ключевым коммуникациям, связанным с кибербезопасностью. Например, сообщение от генерального директора — отличный способ начать неделю осведомленности об ИТ-безопасности.

Сделайте обучение безопасности и мероприятия по повышению осведомленности интересными. Отмечайте и поощряйте сотрудников, которые демонстрируют правильное поведение в области кибербезопасности. Дайте сотрудникам понять свою личную ответственность за защиту своих имен пользователей и паролей. Пусть они знают, как сообщать об известных или предполагаемых инцидентах кибербезопасности.

Разработайте процедуру эскалации, которая начинается с линейных руководителей и сотрудников службы поддержки, а затем идет вверх по командной цепочке в зависимости от значимости и серьезности инцидента.

3. Правила кибербезопасности

Данные — это новая нефть. В этом контексте регулирующие органы во всем мире изо всех сил пытаются разработать правила, которые могут идти в ногу с огромным объемом конфиденциальных данных, находящихся в руках корпораций. Актуальность росла особенно быстро с ростом изощренности хакеров, а также спонсируемого государством и промышленного кибершпионажа.

Ничто так не отражает эту волну новых правил кибербезопасности, как Общий регламент ЕС по защите данных (GDPR). По мере того как другие наднациональные, национальные, государственные и местные регулирующие органы разрабатывают собственные варианты GDPR, директорам по информационной безопасности придется работать с юридическими и комплаенс-группами, чтобы обеспечить лидерство, обеспечивающее соответствие безопасности, конфиденциальности, защиты данных и политик компании новым требованиям. законы.

Нормативно-правовая база может стать особенно туманной для многонациональных организаций из-за региональных законов о кибербезопасности. В таких ситуациях может быть лучше определить наименьший общий знаменатель и разработать политику кибербезопасности компании на основе этого базового уровня, если он не нарушает какие-либо конкретные правила.

4. Угроза программ-вымогателей

С самого начала эпохи Интернета организациям приходилось сталкиваться с множеством киберугроз и задач CISO. Но в последние годы появилось одно из них, которое выделяется своей способностью угрожать самому выживанию целых предприятий: программы-вымогатели. Хотя история программ-вымогателей насчитывает более трех десятилетий, тип программ-вымогателей, с которыми сегодня борется мир, гораздо более разрушительный и сложный.

В отличие от других форм взлома и вредоносных программ, когда преступники просто заинтересованы в краже конфиденциальной информации, программы-вымогатели используют вымогательство. В 2019 году атаки программ-вымогателей нанесли миллиарды долларов прямых и косвенных убытков некоторым из крупнейших корпораций мира.

Директора по информационной безопасности должны убедиться, что инфраструктура безопасности их организации предназначена для предотвращения и преодоления атак программ-вымогателей. Это, однако, должно идти рука об руку с тем, чтобы каждый сотрудник понимал различные способы проникновения программ-вымогателей в организацию, такие как вложения электронной почты или переходы по вредоносным ссылкам.

Директор по информационной безопасности вместе с юрисконсультом также должен быть готов представить весь спектр юридических возможностей, доступных для организации, включая возможность выплаты выкупа в качестве крайней меры для возврата систем и данных.

5. Нехватка специалистов по кибербезопасности

Спрос на специалистов по кибербезопасности намного превышает предложение. В 2019 году глобальная рабочая сила в области кибербезопасности насчитывала 2,8 миллиона специалистов. Это упало ниже требуемой численности персонала на ошеломляющие 4,07 миллиона человек. Только в 2019 году отрасли требовался 145-процентный скачок, чтобы преодолеть этот разрыв. Ясно, что эта острая нехватка будет с нами еще долгие годы.

Для директоров по информационной безопасности это головная боль, с которой они борются каждый день. Борьба за таланты может сделать войну за вознаграждение головокружительной и недоступной для многих работодателей. Директора по информационной безопасности должны быть более творческими, чтобы гарантировать, что потребности организации в персонале службы безопасности не пострадают из-за нехватки талантов.

Один из способов — задействовать и повысить квалификацию сотрудников, которые уже работают в организации, но не обязательно имеют опыт работы в области кибербезопасности. Во-вторых, обеспечить, чтобы у каждой роли безопасности был компетентный двойник, который мог бы заменить его на случай непредвиденной вакансии. В-третьих, используйте автоматизированные решения для обеспечения безопасности и сведите к минимуму потребность в ручном вмешательстве.

Признавайте проблемы CISO и действуйте соответственно

Директора по информационной безопасности живут и работают в беспрецедентные неспокойные времена. В сегодняшней технологической среде, нагруженной рисками, ответственность может показаться непосильной. Ключом к выживанию и процветанию является выявление наиболее серьезных проблем CISO и принятие мер, чтобы не отставать от них.