Czterech CISO, cztery opinie

Czy CISO powinien raportować do CIO? Jakich zagrożeń obawiają się CISO? Czy obawiają się wypalenia zawodowego? Do (wirtualnego) okrągłego stołu przedstawiciele niemieckiej edycji CSO (csoonline.com) zaprosili czterech znanych CISO.

Czterech CISO, cztery opinie

Fot. Tima Miroshnichenko/Pexels

- Dlaczego procesy biznesowe i strategia bezpieczeństwa muszą do siebie pasować

- Dlaczego nie ma porozumienia co do tego, kto komu powinien składać raporty

- Jak dotrzeć do pracowników z odpowiednim przekazem

Magazyn CSO zaprosił CISO z Allianz Technology, Vorwerk i Bauer Media Group oraz ISO z Otto GmbH & Co. KG do dyskusji przy okrągłym stole. W kwestii tego, jak ważna jest cyberodporność, panuje zgoda. Ale są też różne opinie...

Paneliści

Hendrik Janßen, Global Technology Director Security & CISO w Bauer Media Group. Z Grupą związany jest od 2016 roku, wcześniej pracował w cyberbezpieczeństwie niemieckich sił zbrojnych.

Florian Jörgens pełni funkcję CISO w Vorwerk Group od 2021 roku. Wcześniej był odpowiedzialny za bezpieczeństwo informacji w Lanxess AG - na tym samym stanowisku. Jörgens jest również wykładowcą, autorem i asystentem badawczym na różnych uczelniach.

Jako ISO, Ralf Kleinfeld jest odpowiedzialny za bezpieczeństwo informacji w Otto GmbH & Co. KG. Wcześniej pracował jako informatyk i ekspert sieciowy w Otto Group IT i Metro Systems.

Fabian Topp jest CISO w Allianz Technology SE. Posiada certyfikaty ISO 27001 Lead Implementer, Lead Auditor i CISM oraz mieszkał i pracował zarówno w USA jak i w Chinach.

CISO mają wiele zadań. Muszą chronić i przygotować organizacje na ataki, egzekwować programy i polityki, podnosić świadomość wśród zarządu i pracowników i wiele więcej. Gdybyś miał ustalić priorytety: co według ciebie jest najważniejsze?

Zobacz również:

  • Alarmujące statystyki cyberbezpieczeństwa. Co należy wiedzieć?
  • Jedna trzecia dyrektorów i menedżerów z branży cyberbezpieczeństwa rozważa odejście z pracy
  • Inteligentny pomocnik admina RHEL

Janßen: Bardzo ważne jest stworzenie zrozumienia dla tematu bezpieczeństwa informacji w całej firmie. Nie chodzi mi tylko o świadomość użytkowników końcowych - to oczywiście też jest istotne. Bardziej interesuje mnie to, jak CISO udaje się pełnić rolę ewangelisty i zapewnić, że temat jest postrzegany jako oczywisty i zawsze obecny.

Każdy musi wiedzieć, że istnieją zagrożenia i gdzie mogą się one czaić. Nawet zarząd powinien mieć świadomość, czym jest atak ransomware i jak możemy się przed nim chronić. Użytkownicy końcowi powinni móc rozpoznać e-mail phishingowy. Tworzenie tej podstawowej świadomości na wszystkich poziomach jest dla mnie kluczowe.

Kleinfeld: Zgadzam się z tym, ale chciałbym podkreślić rolę enablera. Chodzi również o pokazanie, że bezpieczeństwo informacji nie jest zadaniem czysto eksperckim, które firma może po prostu zlecić sztabowi profesjonalistów. Temat nie leży gdzieś w piwnicy, trzeba go wprowadzić do organizacji.

Każdy musi widzieć związek z własnym obszarem odpowiedzialności. Jeśli chodzi o sprawy i procesy biznesowe, kwestia bezpieczeństwa musi być standardem. Dlatego termin „bezpieczeństwo IT” nie jest wystarczający. Chodzi o informację, jest ona częścią niemal wszystkiego, co robimy. Technologia pod spodem pomaga nas chronić, ale wszystko zaczyna się od człowieka i jego zachowania.

Dlaczego CISO muszą znać trendy technologiczne

Ale gdy chodzi o nowinki informatyczne, o których jeszcze nikt nie wie, może to być trudne...

Kleinfeld: Kiedy robimy coś nowego - przykładem był cloud computing kilka lat temu - kontrole oparte na dotychczasowej wiedzy mogą już nie działać. Może to zatem prowadzić do tego, że innowacje będą oceniane jako zbyt niepewne, a następnie nie będą podejmowane. Naszym zadaniem jest zatem zapewnienie, aby takie innowacje znalazły się w powszechnym obiegu i abyśmy proaktywnie powiązali je z bezpieczeństwem informacji.

W końcu, czy twoja praca nie polega po prostu na unikaniu najgorszego? Innymi słowy, zapobieganiu lub powstrzymywaniu ataków, tak aby nie mogły one sparaliżować lub uszkodzić twoich systemów?

Topp: Oczywiście, cyberatak jest typowym top ryzykiem, ale i tak mamy z tym do czynienia cały czas. Najgorsza sytuacja może wystąpić, gdy dzieje się coś, o czym nie pomyśleliśmy. Pandemia jest jednym z takich przykładów - z jej konsekwencjami dla współpracy wewnątrz firmy. Albo obecny kryzys energetyczny, który teoretycznie może mieć wpływ także na zaopatrzenie naszych centrów danych. Taki rozwój wypadków jest trudny do przewidzenia - i w tym tkwi prawdziwe wyzwanie: co może się stać, o czym w tej chwili nie myślimy?

Jörgens: Niektórzy koledzy koncentrują się na rozwiązaniach technicznych zbyt mocno, aby przygotować się na incydent naruszenia bezpieczeństwa. Dla mnie jest to złe podejście. Ostatecznie bezpieczeństwo informacji ma za zadanie wspierać strategię biznesową. Na początku zawsze pojawia się pytanie: czego właściwie chce biznes? Strategia bezpieczeństwa musi być do tego dostosowana.

Często widziałem, że działy biznesowe chcą rozpocząć inicjatywę cyfrową lub wprowadzić jakąś platformę, a dział bezpieczeństwa przychodzi bezpośrednio z jakimś systemem technicznym jako rozwiązaniem, które ma zapobiec potencjalnym problemom. Ale to nie działa. Trzeba dokładnie przyjrzeć się temu, czego naprawdę potrzebuje biznes i jakie ryzyko jest z tym związane. Trzeba je szczegółowo ocenić - i dopiero wtedy, na samym końcu, można interweniować z rozwiązaniem technicznym. Nie ma sensu zawsze pozostawać w bańce bezpieczeństwa i myśleć w kategoriach zagrożeń czy ataków. Musimy wejść w rolę osoby wspierającej biznes i nie dać się zepchnąć z powrotem do tej paranoicznej roli bezpieczeństwa.

Różne opinie: Czy CISO powinien raportować do CIO?

W wielu firmach bezpieczeństwo informacji i bezpieczeństwo IT są w równym stopniu zawieszone w organizacji IT. CISO podlega CIO. Czy uważasz, że to słuszne?

Jörgens: Moim zdaniem, bezpieczeństwo informacji nigdy nie powinno być częścią działu IT, a CISO nie powinien raportować do CIO. Znam wielu CISO, którzy są w takiej sytuacji, ale nie znam takiego, który uważa, że to jest dobre. CIO ma inne cele niż CISO. Dostępność to kwestia CIO, ale poufność i integralność nie są jego celami, a CISO - tak. Zawsze istnieje konflikt interesów.

Patrząc tylko na bardziej techniczne zagadnienie bezpieczeństwa IT, mogą istnieć przypadki, w których bezpieczeństwo IT może pozostać w gestii CIO. Ale bezpieczeństwo informacji nie należy do IT, można je raczej umieścić w Corporate Governance and Compliance, tak jest w Vorwerk, lub w Corporate Security, tak było u mojego byłego pracodawcy, Lanxess. Może to być również oddzielny dział z bezpośrednią linią raportowania do członka zarządu. Dopóki CISO nie jest zależny od CIO, pasuje do większości innych konstelacji.

Kleinfeld: Nie jestem aż tak surowy i nie generalizowałbym. Myślę, że dużo zależy od tego, jak ludzie w firmie oceniają kwestię bezpieczeństwa informacji w każdym przypadku. W Otto, CIO zasiada w zarządzie oddziału, a ja mu podlegam. To daje mi najlepsze możliwe wsparcie. To działa bardzo dobrze, zwłaszcza w przypadku komunikacji ze stroną biznesową.

Mam pełne poparcie CIO, bo temat jest dla niego po prostu ważny, a bezpieczeństwo informacji traktuje jako najwyższy priorytet. Myślę, że to zależy też od historii, jak temat był traktowany w firmie. Jako zadanie czysto compliance'owe jest postrzegany z zupełnie innej, częściowo prawnej perspektywy i zapewne inaczej realizowany. Tematy takie jak bezpieczeństwo informacji i IT będą wtedy prawdopodobnie rozpatrywane oddzielnie. Ja jednak widzę to inaczej, dla mnie oba zadania ściśle ze sobą współgrają.

Janßen: Ja też nie widzę tego tak dogmatycznie. Nie powiedziałbym, że CISO nie powinien raportować do CIO. Niektórzy nawet żartobliwie mówią, że CIO powinien raportować do CISO. Ostatecznie zależy to od kultury i historii firmy, a także od osób odpowiedzialnych. W firmie Bauer, CISO podlega Dyrektorowi ds. Technologii i Informacji, CTIO, który zasiada w naszym ścisłym zarządzie. Myślę, że w tej chwili jest to dla nas najlepsze rozwiązanie.

Jak Allianz sobie z tym radzi?

Topp: W Grupie Allianz, CISO grupy korporacyjnej podlega dyrektorowi operacyjnemu (COO), podobnie jak CISO w poszczególnych jednostkach biznesowych. W przypadku braku COO, odpowiedzialność ponosi dyrektor finansowy (CFO). W przeszłości większość CISO raportowała do CIO. Tego już nie ma, choćby po to, by uniknąć konfliktu interesów. Ale zgadzam się z moimi kolegami: w końcu tak naprawdę wszystko zależy od ludzi. Osobiście, na przykład, wolałbym raportować do współpracującego CIO niż ignorującego CEO.

Uważam też, że model biznesowy i branża są w tym pytaniu kluczowe. Kiedy patrzę na firmy, w których bezpieczeństwo jest integralną częścią modelu biznesowego, naturalne jest, że CISO raportuje do CEO. Chodzi tu nie tylko o bezpieczeństwo wewnętrzne, ale także o bezpieczne produkty dla klientów.

Decyzja ta ma wiele wspólnego z dojrzałością bezpieczeństwa informacji w firmie. W zależności od strategicznego planowania organizacyjnego, rola ta jest różnie umiejscowiona. Na jednym końcu skali zaczyna się od linii raportowania do CIO - znam nawet przypadki, w których CISO nie raportuje bezpośrednio do CIO, ale do szefa jego zespołu. Na drugim końcu znajduje się CISO, który sam jest w zarządzie. A potem jest wiele innych wariacji, pomiędzy nimi.

Kleinfeld: Myślę, że to już stało się jasne: bezpieczeństwo informacji to bardziej kwestia ludzi niż technologii. Ludzie odgrywają centralną rolę, a my możemy osiągnąć najwięcej, jeśli są z nami ludzie z organizacji.

CISO wysoko oceniają programy uświadamiające

Przypomina mi to wielkie plakaty informacyjne na ścianach niektórych firm, nawołujące do stosowania silnych haseł i nie otwierania podejrzanych załączników do wiadomości e-mail. Zawsze pojawiają się głosy, zwłaszcza po stronie producentów, które mówią: kampanie świadomościowe nie działają...

Jörgens: (śmiech...) Co mówią ci ludzie, kiedy są skonfrontowani z faktem, że 70 procent wszystkich cyberataków jest wciąż skierowanych na ludzi, a tylko 30 procent na systemy? Przy rozsądnych działaniach uświadamiających - a nie muszą to być teraz plakaty - pokrywam 70 procent możliwych incydentów cybernetycznych. Chciałbym zobaczyć rozwiązanie techniczne, które pozwoliłoby mi to zrobić.

Kleinfeld: W tej kwestii zgadzam się z Florianem Jörgensem. Technologia zawsze będzie napotykać na ograniczenia, a cyberprzestępcy postrzegają swoje zadanie jako znalezienie i pokonanie ich. Jeśli im się to uda, to zostaje nam tylko człowiek, który musi być przeszkolony i wiedzieć jak reagować. Świadomość jest ważnym narzędziem w naszej skrzynce narzędziowej. Ostatecznie chodzi o podejście do ludzi i wyjaśnienie im kontekstów.

Topp: Nigdy nie widziałem większego udanego ataku, który nie zawierałby gdzieś elementu ludzkiego. Jeśli chodzi o kampanie plakatowe itp. to nie tyle chodzi o przekaz na nich, np. "Wybierz bezpieczne hasło". Ważniejsze jest, aby kierownictwo firmy sygnalizowało, jak ważny jest dla nich temat. Zgodnie z hasłem: my traktujemy to bardzo poważnie - i ty też.

Janßen: Rodzaje komunikacji w takich kampaniach są również bardzo różne. Niektórzy mówią: "Prowadzimy działania uświadamiające, abyśmy byli zgodni z przepisami. Kupujemy narzędzie z rynku, a potem wałkujemy standardowe szkolenia itd.". Ale to nie zmienia świadomości. Ważne jest, aby grupa docelowa została rzeczywiście zrozumiana i aby przekaz do niej dotarł. Jeśli chcesz to osiągnąć, musisz poważnie traktować swoich adresatów. W tym celu można również podjąć takie tematy: jak właściwie chronić swoje dzieci w internecie? Albo jak zapewnić bezpieczeństwo na wakacjach?

Kleinfeld: Może jako przykładu użyję tematu obsługi incydentów bezpieczeństwa. Mogę na to spojrzeć w bardzo techniczny sposób: chcę, żeby ten incydent został zaadresowany jak najszybciej. Ale mogę też powiedzieć: ktoś, kto zgłasza incydent związany z bezpieczeństwem, powinien być jak najlepiej przeszkolony lub uwrażliwiony. Ta osoba jest po prostu niepewna i potrzebuje pomocy. Potrzebuje wsparcia, mogę to wykorzystać, aby umożliwić naukę i poprawę oceny zdarzeń lub zwiększenie pewności siebie. Incydent jest okazją do podniesienia świadomości, powinien stanowić wartość dodaną dla ofiar.

Każdy może stać się ofiarą – nie ma się czego wstydzić!

Czy zgłoszenie się nie jest zbyt kłopotliwe dla takiej osoby? W większości przypadków popełniła przecież błąd, który jest teraz problemem - na przykład dała się nabrać na atak socjotechniczny.

Jörgens: To jest kwestia kultury błędów w firmie. Jeśli użytkownicy muszą się ukrywać z takim problemem, to coś jest fundamentalnie nie tak.

Kleinfeld: Ja widzę to tak samo, chodzi o zaufanie między ludźmi. Jeśli współpracownicy są zbywani uwagą typu: "To oczywiście phishing, dlaczego dzwonisz w sprawie tak banalnego maila? Dział pomocy powinien podziękować kolegom za ich wrażliwość w zgłaszaniu incydentu. Analiza ataku jest wówczas w gestii odpowiedzialności zespołu bezpieczeństwa.

Jeśli użytkownik powie: "Nie jestem pewien, to może być coś złośliwego", to zawsze jest to dla nas incydent bezpieczeństwa. Trzeba to wbić ludziom do głowy. W ten sposób unikam sytuacji, w której ktoś nie dzwoni, bo myśli, że może się skompromitować.

Janßen: Jeśli chodzi o czynnik "no blame" - wyraźnie mamy przekaz z góry, że "nikt nie zostanie ścięty, bo nieumyślnie spowodował incydent". Faktem jest, że przestępcy są coraz lepsi w znajdowaniu luk prawnych, a to może się zdarzyć każdemu. Zaprojektowaliśmy nasze szkolenia uświadamiające w taki sposób, że zarząd też czasem opowiada, co znajduje w swojej skrzynce pocztowej i na co już się nabrał.

Porozmawiajmy o możliwych scenariuszach ataku: Do czego szczególnie się przygotowujesz?

Topp: Jak powiedziałem, z mojego punktu widzenia największe ryzyko wynika z nieprzewidywalnych zdarzeń. Dlatego ważne jest dla mnie to, że wykształciłem w sobie pewną odporność. Nie wiadomo, gdzie to nastąpi, ale kiedy już nastąpi, musimy umieć ograniczyć skutki.

Kleinfeld: Zarządzanie ciągłością działania (BCM) daje tu duże możliwości: pomaga się skupić. Koncentrujesz się na ważnych procesach biznesowych. Wtedy eksperci od strony biznesowej są od razu na pokładzie, oni też chcą, żeby ważne procesy biznesowe działały. To czasem przemawia do nich bardziej konkretnie niż bezpieczeństwo informacji czy technologia. To pomaga im ustalić priorytety własnej pracy.

Topp: Zgadzam się z tym w stu procentach, nawet poszedłbym dalej: Mam kolegów z - jak zawsze mówię - "syndromem prawnika", którzy mówią: wszystko musi być zabezpieczone w 120 procentach. Ale jeśli przed kierownictwem będziesz przedstawiał wszystko jako równie ważne, w pewnym momencie przestaniesz być traktowany poważnie. W pewnym momencie firma nie byłaby już w stanie działać. Bardzo ważne jest ustalenie priorytetów, a BCM jest super pomocą w argumentacji do tego. Można powiedzieć własnym ludziom: musimy pozycjonować się wzdłuż tych procesów biznesowych.

Janßen: Jest to ważne nie tylko w zapobieganiu, ale także w postępowaniu z incydentami. Zdarzenie, które pojawia się najczęściej i powoduje najwięcej pracy, niekoniecznie jest tym, na którym powinieneś się skupić.

Kleinfeld: Zazwyczaj jest tylko kilka procesów, które są naprawdę krytyczne dla biznesu. Skoncentrowanie się na nich znacznie ułatwia życie.

Czy menedżerowie ds. cyberbezpieczeństwa spowalniają działanie biznesu?

Wszystkie firmy chcą być dziś szybkie i zwinne, najlepiej działać w czasie rzeczywistym i w oparciu o dane. Czy CSO nie musi uważać, aby wewnętrznie nie być postrzeganym jako hamulcowy?

Topp: Nie wydaje mi się, żeby to był problem w Allianz od dłuższego czasu. To pewnie też dlatego, że jesteśmy grupą ubezpieczeniową. Bezpieczeństwo to nasz biznes. Często nawet przekazujemy informacje naszym klientom, aby oni z kolei mogli zasygnalizować swoim klientom, jak dobrze radzą sobie z kwestią bezpieczeństwa. Hasło Allianz brzmi: Zabezpieczamy twoją przyszłość - to mówi wszystko.

Kleinfeld: Myślę, że należy trzymać się zasady taktycznej, aby nie być postrzeganym jako hamulcowy. Zawsze mówię moim ludziom, żeby nie odpowiadali na pytania typu "Czy mogę to zrobić?" lub "Czy to jest bezpieczne?" w sposób zamknięty. Takie pytania stawiają nas w roli arbitra. Osoba, która pyta w ten sposób, dąży do uzyskania odpowiedzi twierdzącej. Jeśli tak jest, to nie musi nic więcej robić. Jeśli dostanie odmowę, może powiedzieć: CISO i jego ludzie zabronili, to ich wina.

Lepiej byłoby, gdyby CISO odpowiedział na pytanie: "Co muszę zrobić, aby moje rozwiązanie lub proces były bezpieczne?". Wtedy CISO pełni rolę enablera. Następuje wymiana zdań na temat tego, co pracownik robi, w jakich warunkach i jak można zidentyfikować i ograniczyć ryzyko. Zamiast mówić tak lub nie, bardziej sensowne jest zajęcie się pytaniem, co jest niezbędne do bezpiecznego mapowania procesu.

Różne badania pokazują, że CISO są poddawani ogromnej presji. Dotyczy to ich obciążenia pracą, ale przede wszystkim wielkiej odpowiedzialności. Całkiem sporo nie wytrzymuje i kończy się to wypaleniem...

Topp: Niekoniecznie wiązałbym czynnik stresu z funkcją CISO. Wszyscy mamy oczywiście wiele do zrobienia, ale zawsze są osoby, które odczuwają większy stres niż innie. Swoją drogą, większość CISO nie musi ponosić odpowiedzialności, jeśli coś się stanie. Jeśli jednak są członkami zarządu, to z pewnością jest to inna sytuacja.

Kleinfeld: Incydenty bezpieczeństwa się zdarzają, nigdy nie możemy temu całkowicie zapobiec. Każdy, kto uważa, że taka możliwość to zbyt duża presja, może nie być na właściwym stanowisku. Ważne jest, aby w przypadku zdarzenia zachować spokój, bo ono w pewnym momencie nastąpi. Wtedy trzeba być dobrze przygotowanym i działać z dużym obiektywizmem. Dla CISO chodzi również o rozwijanie kultury błędu we własnym zespole i tworzenie zaufania do działania. (hv/jm)

Artykuł pochodzi z CSOonline.com

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200