Jak CISO i CIO powinni dzielić się odpowiedzialnością za cyberbezpieczeństwo

W większości organizacji, zarówno CISO jak i CIO są odpowiedzialni za bezpieczeństwo cybernetyczne - kwestię, która staje się coraz bardziej kluczowa dla efektywnego prowadzenia każdej nowoczesnej firmy. Jasno zdefiniowana własność w zakresie bezpieczeństwa cybernetycznego może okazać się integralną częścią skutecznego pozycjonowania bezpieczeństwa organizacyjnego.

Jak CISO i CIO powinni dzielić się odpowiedzialnością za cyberbezpieczeństwo

W większości organizacji, zarówno CISO jak i CIO są odpowiedzialni za bezpieczeństwo cybernetyczne

Fot. Cottonbro, Pexels

Ostatnie badanie ISACA przeprowadzone wśród prawie 3700 globalnych specjalistów ds. bezpieczeństwa cybernetycznego wykazało, że podczas gdy prawie połowa (48%) zespołów ds. bezpieczeństwa cybernetycznego podlega bezpośrednio CISO, jeden na cztery zespoły podlega CIO. Pomimo rozbieżności w strukturach firm, badanie nie wykazało znaczących różnic w zakresie własności funkcji bezpieczeństwa pomiędzy CISO i CIO w odniesieniu do poglądów na wzrost lub spadek liczby ataków cybernetycznych, zdolności do wykrywania i reagowania na cyberzagrożenia oraz raportowania cyberprzestępczości.

W raporcie stwierdzono jednak różnice w odniesieniu do oceny ryzyka cybernetycznego przez kadrę zarządzającą, sposobu, w jaki rady nadzorcze traktują bezpieczeństwo cybernetyczne jako priorytet oraz strategicznego dopasowania. Co więcej, raport wskazał również na coraz częstszą praktykę w branży, zgodnie z którą CISO podlega stanowisku innemu niż dyrektor ds. informatyki, szczególnie w przypadku, gdy zakres obowiązków CISO obejmuje zarządzanie, ryzyko i zgodność z przepisami, ciągłość działania / odzyskiwanie danych po awarii, oszustwa, zaufanie i bezpieczeństwo lub zarządzanie kryzysowe.

Zobacz również:

  • Priorytety CSO 2020

Odpowiedzialność za sprawy związane z bezpieczeństwem cybernetycznym może być różna w zależności od roli, między innymi ze względu na wielkość organizacji, sektor i wymogi prawne.

Odpowiedzialność za bezpieczeństwo cybernetyczne: CISO i CIO

Omri Braun, CIO w Lightico, podsumowuje różnicę między odpowiedzialnością za cyberbezpieczeństwo większości CIO i CISO w ten sposób: „CIO jest bardziej skoncentrowany na zapewnieniu, że odpowiednie narzędzia są wykorzystywane do maksymalizacji wydajności, a także na identyfikacji trendów, które mają wpływ na firmę i ciągłym poszukiwaniu możliwości wykorzystania i produkcji lepszej technologii. Zadaniem CISO jest zapewnienie, że bezpieczeństwo danych, integralność i tym podobne są chronione w sposób proaktywny.

Richard Jones, globalny CISO w Orange Cyberdefense, zgadza się z tym stwierdzeniem. „Zazwyczaj rola CISO polega na patrzeniu na bezpieczeństwo z perspektywy operacyjnej, chroniąc przedsiębiorstwo przed zagrożeniami cybernetycznymi. Z drugiej strony, CIO skupia się bardziej na wbudowaniu bezpieczeństwa w szerszy stos technologiczny przedsiębiorstwa i bieżące projekty transformacji cyfrowej w celu zapewnienia odporności, zwiększenia doświadczenia użytkowników i zmaksymalizowania wydajności".

Architekt ds. cyberbezpieczeństwa, Tee Patel, twierdzi, że CIO są często zmuszani do „podążania za linią partii" w zakresie ROI związanego z bezpieczeństwem, podczas gdy od CISO wymaga się zazwyczaj znacznie większej niezależności, skoncentrowanej na ochronie samej organizacji. „Zarabianie pieniędzy i osiąganie celów (CIO) w porównaniu z dbaniem o bezpieczeństwo (CISO) to znaczące różnice między współczesnymi stanowiskami CIO i CISO" - mówi CSO.

Te rozróżnienia mogą być subtelne. Amanda Finch, dyrektor generalny Chartered Institute of Information Security, twierdzi, że różnicę w odpowiedzialności najlepiej podsumowuje stosunek każdej z tych ról do danych. Z kolei Ian Glover, prezes jednostki akredytującej i certyfikującej bezpieczeństwo informacji CREST mówi, że coraz trudniej jest całkowicie oddzielić role CISO i CIO z perspektywy bezpieczeństwa. W większości organizacji są one zbyt blisko siebie i wzajemnie powiązane.

Odpowiedzialność CISO w zakresie bezpieczeństwa cybernetycznego

Jason Lee, CISO, Zoom podkreśla, że jego głównym celem jest ochrona krytycznych informacji, w tym danych klientów, pracowników i kodu źródłowego. „W bezpieczeństwie ważne jest, aby brać pod uwagę szerszy obraz. Obejmuje to przyglądanie się stronom trzecim powiązanym z firmą i ocenę, jak najlepiej zarządzać ryzykiem. Jestem również odpowiedzialny za dbanie o bezpieczeństwo pracowników aby byli przygotowani na zagrożenia i chronieni przed nimi".

Dla Joanny Burkey, CISO w HP Inc. radzenie sobie z ochroną przedsiębiorstwa w erze pracy hybrydowej jest integralną częścią bieżących działań w zakresie bezpieczeństwa. „W modelu pracy zdalnej w ciągu ostatnich około 18 miesięcy, kuszące dla działu cyberbezpieczeństwa było dodanie większej liczby ograniczeń dla pracowników, ponieważ praca jest często prowadzona bez ochrony tradycyjnej infrastruktury on-premise". Jednak te polityki bezpieczeństwa i ograniczenia zostały zaprojektowane dla czasów, w których praca zdalna była wyjątkiem, a nie normą, i muszą być postrzegane w inny sposób. „CISO muszą teraz zastanowić się, w jaki sposób inne podejścia do ograniczania ryzyka mogą nadal chronić przedsiębiorstwo, ale również przyjąć do wiadomości, że prawdziwe życie, zwłaszcza w obliczu globalnej pandemii, nie zawsze jest zgodne z zasadami.

Jones dodaje, że zarządzanie przeciążeniem spowodowanym połączeniem dynamicznego krajobrazu cyberzagrożeń i rosnącej fali transformacji cyfrowej jest kolejnym integralnym elementem roli współczesnego CISO. „Bezpieczeństwo cybernetyczne musi być teraz wbudowane w każdy aspekt działalności firmy i być na pierwszym planie dla każdego, od dyrektora generalnego po absolwentów szkół podstawowych". W związku z tym, CISO musi wprowadzić bezpieczeństwo do wszystkich aspektów środowiska cyfrowego firmy od podstaw, zapewniając, że jest ono integralną częścią projektów cyfrowych, aby ostatecznie zmniejszyć liczbę alertów, z którymi borykają się zespoły bezpieczeństwa i pozwolić im lepiej wykorzystać swoje umiejętności i zasoby.

Obowiązki dyrektora ds. informatyki w zakresie bezpieczeństwa cybernetycznego

Podczas gdy CISO jest odpowiedzialny za planowanie i różnorodne elementy bezpieczeństwa cybernetycznego na co dzień, w większości organizacji, odpowiedzialność często spoczywa na CIO, który raportuje do CEO i zarządu, mówi Finch. „W rezultacie, CIO nie może całkowicie zrzucić odpowiedzialności na CISO. Zamiast tego musi zachować świadomość strategii bezpieczeństwa i upewnić się, że nie zagraża ona ogólnej strategii organizacji - lub odwrotnie".

Brad Pollard, CIO w Tenable, mówi, że dzisiejsi CIO mają szereg obszarów odpowiedzialności za bezpieczeństwo, których fundamentem jest dostępność, wydajność, budżet i terminowa realizacja projektów. „CIO umożliwiają i wspierają każdą jednostkę biznesową w organizacji. Na przykład, CISO może być odpowiedzialny za definiowanie parametrów bezpieczeństwa, takich jak SLA w zakresie usuwania luk w zabezpieczeniach lub kontroli dostępu, ale to CIO musi spełnić te wymagania w odniesieniu do wszystkich jednostek biznesowych, obejmujących wszystkie technologie firmy” - mówi Pollard. „Kluczowym wyzwaniem związanym z bezpieczeństwem, przed którym stoją współcześni dyrektorzy ds. informatyki, jest spełnienie potrzeb biznesowych, a w szczególności zmieszczenie się w budżecie i dotrzymanie harmonogramu, przy jednoczesnym utrzymaniu bezpiecznego środowiska".

Jots Sehmbi, CIO, University of Essex, mówi, że rola CIO staje się czymś więcej niż tylko prowadzeniem tradycyjnych operacji. W coraz większym stopniu obejmuje wdrażanie nowych technologii w celu zapewnienia organizacjom możliwości korzystania z rozwiązań cyfrowych. „Niektóre z tych technologii mogą być nowością dla organizacji (np. RPA, AI, IoT) i niosą ze sobą potencjalne zagrożenia, np. w zakresie architektury danych. CIO, w związku z tym, ma obowiązek posiadania solidnej wiedzy na temat trendów cyberbezpieczeństwa wszelkich nowych technologii".

Konflikt i współpraca

Braun mówi, że biorąc pod uwagę realia niedoskonałego świata, różne obowiązki i cele CISO i CIO w zakresie cyberbezpieczeństwa mogą prowadzić do konfliktów. Podkreśla on jednak potrzebę spójności w celu zapewnienia, że „stosowana jest technologia zorientowana przyszłościowo, która jest zabezpieczona warstwą bezpieczeństwa, która nie zagraża firmie, jej danym ani danym jej klientów".

CIO i CISO muszą zrozumieć, że choć mogą mieć różne cele, kroczą tą samą ścieżką, mówi Jones. „Współpraca i komunikacja między tymi dwiema rolami są kluczowe w nowoczesnym przedsiębiorstwie. CISO i CIO muszą współpracować, aby wykorzystać technologie i podejścia, takie jak SD-WAN, SASE i zero trust, które umożliwiają nowe sposoby pracy w sposób bezpieczny, wydajny i bez ograniczania użyteczności". Dodaje, że CISO i CIO pracujący w zgodzie muszą również być świadomi ograniczeń drugiej strony i działać w ich ramach.

Rozwijająca się rola cyberbezpieczeństwa w ramach operacji biznesowych zmienia dynamikę pomiędzy CIO i CISO, dodaje Lee, czego sam doświadczył w Zoom. „Obaj musimy nadać priorytet bezpieczeństwu i zwalczać rosnące zagrożenia. Bezpieczeństwo musi być na pierwszym miejscu przy podejmowaniu każdej decyzji. Kluczowe znaczenie ma wzajemne zaangażowanie w strategie i kluczowe inicjatywy. Oznacza to, że nasze role są o wiele bardziej powiązane niż kiedyś, co sprawia, że współpraca jest jeszcze ważniejsza".

Przyszłość współpracy

Patrząc w przyszłość, eksperci przewidują znaczącą ewolucję w zakresie odpowiedzialności za bezpieczeństwo cybernetyczne dla CISO i CIO. „Zobaczymy, jak CIO i CISO będą ciężko pracować nad tym, aby bezpieczeństwo stało się zaufanym źródłem ze spójnością standardów, zachowań i realizacji - podobnie jak w przypadku zawodów takich jak prawo, medycyna czy księgowość - z równie poważnymi obowiązkami" - mówi Finch.

Marc Lueck, CISO w Zscaler, uważa, że w nadchodzących latach dyrektorów ds. bezpieczeństwa cybernetycznego czeka interesująca zmiana. „Albo ta rola i ta osoba nabiorą wprawy w równoważeniu dwóch bardzo różnych podstawowych usług o bardzo różnych modelach kosztów i korzyści, albo CIO stanie się odpowiedzialny za dostarczanie bezpieczeństwa przez IT, zarządzane i ewentualnie egzekwowane przez CISO, który nie będzie mu już podlegał. Oba modele będą istniały i oba odniosą sukces, jeśli odpowiedni ludzie będą pełnić te funkcje". Zauważa on, że porażka w zakresie bezpieczeństwa dla CIO jest "obecnie nie do wyobrażenia", ale bezpieczeństwo cybernetyczne stanie się dla CIO tak samo ważne, jak wydajność i umiejętności cięcia kosztów.

Pollard dodaje, że podobnie jak współczesne jednostki biznesowe przejęły niektóre tradycyjne obowiązki IT za pośrednictwem platform SaaS, CIO będą w większym stopniu odpowiedzialni za znalezienie specjalistów ds. bezpieczeństwa w jednostkach biznesowych. „Specjaliści ci będą musieli nie tylko wiedzieć, jak zabezpieczyć konkretne wykorzystywane technologie, ale będą również potrzebować świadomości sytuacyjnej w zakresie zagrożeń, które stanowią największe ryzyko dla danej jednostki biznesowej" - dodaje.

Glover przewiduje, że wspólne obowiązki dyrektora ds. informatyki i dyrektora ds. bezpieczeństwa zmienią się w obszarach łączności z podmiotami zewnętrznymi oraz fuzji i przejęć, przy czym obie te osoby będą musiały współpracować w celu ustanowienia istotnych procesów, które zwiększą bezpieczeństwo i pewność. „Będą współpracować, aby zapewnić, że są częścią głównych inicjatyw w firmie i mają siłę i autorytet, aby składać rozsądne, przemyślane oświadczenia dotyczące połączeń z firmami zewnętrznymi oraz przejęć i fuzji".

Artykuł pochodzi z CSO online

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200