W sesji otwierającej VII Forum Bezpieczeństwa i Audytu IT – SEMAFOR – uczestnicy konferencji wysłuchali wystąpienia Andrew Rose’a, głównego analityka ds. zarządzania bezpieczeństwem w firmie Forrester Research. Rose mówił o tym, jak w ciągu najbliższych lat zmieni się rola CISO (Chief Information Security Officer).

Uczestnicy konferencji najpierw przenieśli się w przeszłość, a Rose opowiedział o tym, kim był CISO w roku 1998. Nakreślił sylwetkę postaci „technicznej” skoncentrowanej na zarządzaniu bezpieczeństwem. Niecałe dwie dekady później – w roku 2014 – typowy CISO, jest zdaniem analityka, postacią zupełnie inną. To ktoś, kto często ma bardzo małą wiedzę na temat bezpieczeństwa informacji, lub nie ma jej wcale. Współczesny CISO jest natomiast dobrze zorientowany w sprawach biznesowych – potrafi rozmawiać z liderami biznesu.

Zobacz również:

• Generatywna sztuczna inteligencja przeraża CISO. Mimo to jej wdrażanie nie zwalnia tempa

Czy to koniec roli klasycznego CISO?

Odpowiedź na to pytanie, może zmartwić wiele osób. Rose twierdzi, że rola klasycznego CISO całkowicie się zmienia. Nie zmienia się natomiast to, że CISO jest potrzebny. Jest

wręcz potrzebny bardziej, niż kiedykolwiek do tej pory.

W najbliższych latach rozumienie technologii nie będzie po prostu najważniejsze. Niektórzy twierdzą wręcz, że będzie to wiedza uzupełniająca, opcjonalna. Na pierwszym miejscu stawiane będzie za to rozumienie biznesu. Analityk zaznacza, że zostanie tytułowym CISO 2018 roku wymagać będzie od człowieka wynalezienia się na nowo, ewoluowania. Kto tego nie zrobi, ten może mieć problem z utrzymaniem swojego stanowiska.

Czym powinien się przejmować CISO?

Rose wymienił kilka zagrożeń, rzeczy, na nadejście których trzeba być gotowym. Są to:

• Zatrudnienie – organizacje mają problem ze znalezieniem odpowiednich pracowników, ci zaś przenoszą się z firmy do firmy, kuszeni chociażby wyższymi zarobkami

• Nowe interfejsy – jako przykład podano tutaj Google Glass będący wzorem nowego sposobu wchodzenia w interakcję z technologią, ale jednocześnie nowe zagrożenie

• Coraz większe oczekiwania klientów – są oni coraz bardziej przyzwyczajeni do nowoczesnych technologii i wymagają, by ich prywatność i bezpieczeństwo zawsze były gwarantowane

• Nowe rodzaje transakcji biznesowych – jako przykład podano tutaj Bitcoin. Organizacje będą zmuszone z niego korzystać, ponieważ będą to robili klienci. Kto nie podąży za nimi, ten narazi się na ich utratę. Przy okazji trzeba będzie jednak pamiętać o działalności przestępczej związanej z tymi rodzajami transakcji

• M2M/Internet Rzeczy – technologie, które całkowicie zmienia świat. CISO musi sprawić, by ich wykorzystanie było właściwie zabezpieczone

• Ewolucja zagrożeń zewnętrznych – jako przykład wskazano tu działalność hakerów działających na zlecenie państw. Choć jeszcze bardziej cofną się oni w cień, to istnieje ryzyko, że zaawansowane narzędzia, z których korzystają, wpadną w ręce przestępców

• Mobile/Cloud/Big Data/Social – większość organizacji będzie z nich korzystała, lub już korzysta, ale nie zdaje sobie sprawy z tego, jakie zagrożenia wiążą się z tym

W kontekście powyższych punktów, Forrester Research przepytało wielu CISO o to, jak widzą swoją rolę w roku 2018. Odpowiedzi były w zasadzie jednoznaczne. Praktycznie wszyscy ankietowani odpowiedzieli, że wszystkie rzeczy, które są dla nich priorytetem obecnie, pozostaną priorytetem w roku 2018. Różnica jest taka, że tych priorytetów przybędzie – będzie znacznie więcej rzeczy, którymi CISO będzie musiał się zajmować.

Zmieni się również sama „piramida priorytetów”. O ile obecnie zagadnienia technologiczne mogą znajdować się na jej szczycie, to w niedalekiej przyszłości spadną na samo dno. Istotne staną się aspekty biznesowe pracy. I to pomimo tego, że jak wskazują powyższe punkty – wzrośnie także zapotrzebowanie na zrozumienie i umiejętne zabezpieczenie nowoczesnych technologii.

Zdaniem Rose’a, CISO w roku 2018 będzie przede wszystkim kimś w rodzaju łącznika między działem bezpieczeństwa, a działami odpowiedzialnymi za rozwój biznesu, za inwestycje. Jego priorytetem staną się rozmowy z biznesem, z którym będzie musiał umieć rozmawiać językiem biznesu, a nie językiem technologicznym.

Jak to pogodzić?

Odpowiedź na powyższe pytanie, jest bardzo prosta. Nie da się tego zrobić. Rose twierdzi zatem, że CISO, jakim znamy go w roku 2014, przestanie istnieć. Jego rola się rozmyje, a poszczególne obowiązki zostaną przejęte przez takie osoby, jak ekspert ds. technologii, analityk bezpieczeństwa, konsultanci i doradcy (prawni i ds. zgodności). Nad nimi wszystkimi czuwał będzie natomiast Corporate Information Risk Manager.

Obecnie CISO mogą albo spróbować objąć jego rolę, albo pogodzić się z tym, że zostaną przesunięci o jeden poziom niżej w strukturze organizacji i będą konkurowali z wieloma osobami o awans, a nawet utrzymanie się w firmie. Z osobami, które często będą posiadały umiejętności bardziej cenione od typowych umiejętności technologicznych.

Co zrobić?

Rose podsumowuje krótko – uczyć się. Zaleca, by dzisiejszy CISO nauczył się języka biznesowego, nauczył się czytać i analizować raporty finansowe, sam stal się liderem biznesu i zaangażował w proces podejmowania decyzji biznesowych. Nowoczesny CISO musi wiedzieć, gdzie w biznesie są pieniądze, co biznes stara się osiągnąć. Nawet jeśli sam zazwyczaj nie posiada dyplomu MBA, to o pozycję będzie walczył z osobami, które mogą taki dyplom mieć.

Nadejście zmian jest nieuniknione, niezależnie od tego czy się ich chce, czy nie. Rose na zakończenie retorycznie prosi, by zadać sobie proste pytanie – czy jest się CISO z krwi i kości czy tylko kimś przebranym w jego szaty. Jeśli jest się tym pierwszym, to śmiało, bez obaw powinno się kroczyć ku najwyższym stanowiskom.