Jak CISO i CIO powinni dzielić się odpowiedzialnością za cyberbezpieczeństwo
- Michael Hill, CSO ,
- 16.09.2021, godz. 16:26
W większości organizacji, zarówno CISO jak i CIO są odpowiedzialni za bezpieczeństwo cybernetyczne - kwestię, która staje się coraz bardziej kluczowa dla efektywnego prowadzenia każdej nowoczesnej firmy. Jasno zdefiniowana własność w zakresie bezpieczeństwa cybernetycznego może okazać się integralną częścią skutecznego pozycjonowania bezpieczeństwa organizacyjnego.
Ostatnie badanie ISACA przeprowadzone wśród prawie 3700 globalnych specjalistów ds. bezpieczeństwa cybernetycznego wykazało, że podczas gdy prawie połowa (48%) zespołów ds. bezpieczeństwa cybernetycznego podlega bezpośrednio CISO, jeden na cztery zespoły podlega CIO. Pomimo rozbieżności w strukturach firm, badanie nie wykazało znaczących różnic w zakresie własności funkcji bezpieczeństwa pomiędzy CISO i CIO w odniesieniu do poglądów na wzrost lub spadek liczby ataków cybernetycznych, zdolności do wykrywania i reagowania na cyberzagrożenia oraz raportowania cyberprzestępczości.
W raporcie stwierdzono jednak różnice w odniesieniu do oceny ryzyka cybernetycznego przez kadrę zarządzającą, sposobu, w jaki rady nadzorcze traktują bezpieczeństwo cybernetyczne jako priorytet oraz strategicznego dopasowania. Co więcej, raport wskazał również na coraz częstszą praktykę w branży, zgodnie z którą CISO podlega stanowisku innemu niż dyrektor ds. informatyki, szczególnie w przypadku, gdy zakres obowiązków CISO obejmuje zarządzanie, ryzyko i zgodność z przepisami, ciągłość działania / odzyskiwanie danych po awarii, oszustwa, zaufanie i bezpieczeństwo lub zarządzanie kryzysowe.
Zobacz również:
- Bądź doceniony i doceniaj
- Prevalent wprowadza Alfreda, generatywnego kamerdynera AI do zarządzania ryzykiem
- Specjaliści cyberbezpieczeństwa zadowoleni z pracy
Odpowiedzialność za sprawy związane z bezpieczeństwem cybernetycznym może być różna w zależności od roli, między innymi ze względu na wielkość organizacji, sektor i wymogi prawne.
Odpowiedzialność za bezpieczeństwo cybernetyczne: CISO i CIO
Omri Braun, CIO w Lightico, podsumowuje różnicę między odpowiedzialnością za cyberbezpieczeństwo większości CIO i CISO w ten sposób: „CIO jest bardziej skoncentrowany na zapewnieniu, że odpowiednie narzędzia są wykorzystywane do maksymalizacji wydajności, a także na identyfikacji trendów, które mają wpływ na firmę i ciągłym poszukiwaniu możliwości wykorzystania i produkcji lepszej technologii. Zadaniem CISO jest zapewnienie, że bezpieczeństwo danych, integralność i tym podobne są chronione w sposób proaktywny.
Richard Jones, globalny CISO w Orange Cyberdefense, zgadza się z tym stwierdzeniem. „Zazwyczaj rola CISO polega na patrzeniu na bezpieczeństwo z perspektywy operacyjnej, chroniąc przedsiębiorstwo przed zagrożeniami cybernetycznymi. Z drugiej strony, CIO skupia się bardziej na wbudowaniu bezpieczeństwa w szerszy stos technologiczny przedsiębiorstwa i bieżące projekty transformacji cyfrowej w celu zapewnienia odporności, zwiększenia doświadczenia użytkowników i zmaksymalizowania wydajności".
Architekt ds. cyberbezpieczeństwa, Tee Patel, twierdzi, że CIO są często zmuszani do „podążania za linią partii" w zakresie ROI związanego z bezpieczeństwem, podczas gdy od CISO wymaga się zazwyczaj znacznie większej niezależności, skoncentrowanej na ochronie samej organizacji. „Zarabianie pieniędzy i osiąganie celów (CIO) w porównaniu z dbaniem o bezpieczeństwo (CISO) to znaczące różnice między współczesnymi stanowiskami CIO i CISO" - mówi CSO.
Te rozróżnienia mogą być subtelne. Amanda Finch, dyrektor generalny Chartered Institute of Information Security, twierdzi, że różnicę w odpowiedzialności najlepiej podsumowuje stosunek każdej z tych ról do danych. Z kolei Ian Glover, prezes jednostki akredytującej i certyfikującej bezpieczeństwo informacji CREST mówi, że coraz trudniej jest całkowicie oddzielić role CISO i CIO z perspektywy bezpieczeństwa. W większości organizacji są one zbyt blisko siebie i wzajemnie powiązane.
Odpowiedzialność CISO w zakresie bezpieczeństwa cybernetycznego
Jason Lee, CISO, Zoom podkreśla, że jego głównym celem jest ochrona krytycznych informacji, w tym danych klientów, pracowników i kodu źródłowego. „W bezpieczeństwie ważne jest, aby brać pod uwagę szerszy obraz. Obejmuje to przyglądanie się stronom trzecim powiązanym z firmą i ocenę, jak najlepiej zarządzać ryzykiem. Jestem również odpowiedzialny za dbanie o bezpieczeństwo pracowników aby byli przygotowani na zagrożenia i chronieni przed nimi".
Dla Joanny Burkey, CISO w HP Inc. radzenie sobie z ochroną przedsiębiorstwa w erze pracy hybrydowej jest integralną częścią bieżących działań w zakresie bezpieczeństwa. „W modelu pracy zdalnej w ciągu ostatnich około 18 miesięcy, kuszące dla działu cyberbezpieczeństwa było dodanie większej liczby ograniczeń dla pracowników, ponieważ praca jest często prowadzona bez ochrony tradycyjnej infrastruktury on-premise". Jednak te polityki bezpieczeństwa i ograniczenia zostały zaprojektowane dla czasów, w których praca zdalna była wyjątkiem, a nie normą, i muszą być postrzegane w inny sposób. „CISO muszą teraz zastanowić się, w jaki sposób inne podejścia do ograniczania ryzyka mogą nadal chronić przedsiębiorstwo, ale również przyjąć do wiadomości, że prawdziwe życie, zwłaszcza w obliczu globalnej pandemii, nie zawsze jest zgodne z zasadami.
Jones dodaje, że zarządzanie przeciążeniem spowodowanym połączeniem dynamicznego krajobrazu cyberzagrożeń i rosnącej fali transformacji cyfrowej jest kolejnym integralnym elementem roli współczesnego CISO. „Bezpieczeństwo cybernetyczne musi być teraz wbudowane w każdy aspekt działalności firmy i być na pierwszym planie dla każdego, od dyrektora generalnego po absolwentów szkół podstawowych". W związku z tym, CISO musi wprowadzić bezpieczeństwo do wszystkich aspektów środowiska cyfrowego firmy od podstaw, zapewniając, że jest ono integralną częścią projektów cyfrowych, aby ostatecznie zmniejszyć liczbę alertów, z którymi borykają się zespoły bezpieczeństwa i pozwolić im lepiej wykorzystać swoje umiejętności i zasoby.
Obowiązki dyrektora ds. informatyki w zakresie bezpieczeństwa cybernetycznego
Podczas gdy CISO jest odpowiedzialny za planowanie i różnorodne elementy bezpieczeństwa cybernetycznego na co dzień, w większości organizacji, odpowiedzialność często spoczywa na CIO, który raportuje do CEO i zarządu, mówi Finch. „W rezultacie, CIO nie może całkowicie zrzucić odpowiedzialności na CISO. Zamiast tego musi zachować świadomość strategii bezpieczeństwa i upewnić się, że nie zagraża ona ogólnej strategii organizacji - lub odwrotnie".
Brad Pollard, CIO w Tenable, mówi, że dzisiejsi CIO mają szereg obszarów odpowiedzialności za bezpieczeństwo, których fundamentem jest dostępność, wydajność, budżet i terminowa realizacja projektów. „CIO umożliwiają i wspierają każdą jednostkę biznesową w organizacji. Na przykład, CISO może być odpowiedzialny za definiowanie parametrów bezpieczeństwa, takich jak SLA w zakresie usuwania luk w zabezpieczeniach lub kontroli dostępu, ale to CIO musi spełnić te wymagania w odniesieniu do wszystkich jednostek biznesowych, obejmujących wszystkie technologie firmy” - mówi Pollard. „Kluczowym wyzwaniem związanym z bezpieczeństwem, przed którym stoją współcześni dyrektorzy ds. informatyki, jest spełnienie potrzeb biznesowych, a w szczególności zmieszczenie się w budżecie i dotrzymanie harmonogramu, przy jednoczesnym utrzymaniu bezpiecznego środowiska".
Jots Sehmbi, CIO, University of Essex, mówi, że rola CIO staje się czymś więcej niż tylko prowadzeniem tradycyjnych operacji. W coraz większym stopniu obejmuje wdrażanie nowych technologii w celu zapewnienia organizacjom możliwości korzystania z rozwiązań cyfrowych. „Niektóre z tych technologii mogą być nowością dla organizacji (np. RPA, AI, IoT) i niosą ze sobą potencjalne zagrożenia, np. w zakresie architektury danych. CIO, w związku z tym, ma obowiązek posiadania solidnej wiedzy na temat trendów cyberbezpieczeństwa wszelkich nowych technologii".
Konflikt i współpraca
Braun mówi, że biorąc pod uwagę realia niedoskonałego świata, różne obowiązki i cele CISO i CIO w zakresie cyberbezpieczeństwa mogą prowadzić do konfliktów. Podkreśla on jednak potrzebę spójności w celu zapewnienia, że „stosowana jest technologia zorientowana przyszłościowo, która jest zabezpieczona warstwą bezpieczeństwa, która nie zagraża firmie, jej danym ani danym jej klientów".
CIO i CISO muszą zrozumieć, że choć mogą mieć różne cele, kroczą tą samą ścieżką, mówi Jones. „Współpraca i komunikacja między tymi dwiema rolami są kluczowe w nowoczesnym przedsiębiorstwie. CISO i CIO muszą współpracować, aby wykorzystać technologie i podejścia, takie jak SD-WAN, SASE i zero trust, które umożliwiają nowe sposoby pracy w sposób bezpieczny, wydajny i bez ograniczania użyteczności". Dodaje, że CISO i CIO pracujący w zgodzie muszą również być świadomi ograniczeń drugiej strony i działać w ich ramach.
Rozwijająca się rola cyberbezpieczeństwa w ramach operacji biznesowych zmienia dynamikę pomiędzy CIO i CISO, dodaje Lee, czego sam doświadczył w Zoom. „Obaj musimy nadać priorytet bezpieczeństwu i zwalczać rosnące zagrożenia. Bezpieczeństwo musi być na pierwszym miejscu przy podejmowaniu każdej decyzji. Kluczowe znaczenie ma wzajemne zaangażowanie w strategie i kluczowe inicjatywy. Oznacza to, że nasze role są o wiele bardziej powiązane niż kiedyś, co sprawia, że współpraca jest jeszcze ważniejsza".
Przyszłość współpracy
Patrząc w przyszłość, eksperci przewidują znaczącą ewolucję w zakresie odpowiedzialności za bezpieczeństwo cybernetyczne dla CISO i CIO. „Zobaczymy, jak CIO i CISO będą ciężko pracować nad tym, aby bezpieczeństwo stało się zaufanym źródłem ze spójnością standardów, zachowań i realizacji - podobnie jak w przypadku zawodów takich jak prawo, medycyna czy księgowość - z równie poważnymi obowiązkami" - mówi Finch.
Marc Lueck, CISO w Zscaler, uważa, że w nadchodzących latach dyrektorów ds. bezpieczeństwa cybernetycznego czeka interesująca zmiana. „Albo ta rola i ta osoba nabiorą wprawy w równoważeniu dwóch bardzo różnych podstawowych usług o bardzo różnych modelach kosztów i korzyści, albo CIO stanie się odpowiedzialny za dostarczanie bezpieczeństwa przez IT, zarządzane i ewentualnie egzekwowane przez CISO, który nie będzie mu już podlegał. Oba modele będą istniały i oba odniosą sukces, jeśli odpowiedni ludzie będą pełnić te funkcje". Zauważa on, że porażka w zakresie bezpieczeństwa dla CIO jest "obecnie nie do wyobrażenia", ale bezpieczeństwo cybernetyczne stanie się dla CIO tak samo ważne, jak wydajność i umiejętności cięcia kosztów.
Pollard dodaje, że podobnie jak współczesne jednostki biznesowe przejęły niektóre tradycyjne obowiązki IT za pośrednictwem platform SaaS, CIO będą w większym stopniu odpowiedzialni za znalezienie specjalistów ds. bezpieczeństwa w jednostkach biznesowych. „Specjaliści ci będą musieli nie tylko wiedzieć, jak zabezpieczyć konkretne wykorzystywane technologie, ale będą również potrzebować świadomości sytuacyjnej w zakresie zagrożeń, które stanowią największe ryzyko dla danej jednostki biznesowej" - dodaje.
Glover przewiduje, że wspólne obowiązki dyrektora ds. informatyki i dyrektora ds. bezpieczeństwa zmienią się w obszarach łączności z podmiotami zewnętrznymi oraz fuzji i przejęć, przy czym obie te osoby będą musiały współpracować w celu ustanowienia istotnych procesów, które zwiększą bezpieczeństwo i pewność. „Będą współpracować, aby zapewnić, że są częścią głównych inicjatyw w firmie i mają siłę i autorytet, aby składać rozsądne, przemyślane oświadczenia dotyczące połączeń z firmami zewnętrznymi oraz przejęć i fuzji".