إن التفويض الأمني للمؤسسة واضح: حماية الأنظمة والبيانات والموظفين من التهديدات السيبرانية. يشمل دور قائد الأمن أيضًا حماية العلامة التجارية للمنظمة.
وقد حددت الدراسات تكلفة حادثة البيانات؛ ومع ذلك ، فإن التأثير على الصورة والسمعة والثقة طويل الأمد ومن الصعب التعبير عنه بما يتجاوز بيان المخاطر. ما هو المسؤول الأمني المسؤول عنه وما الذي يُحاسبه عندما يحدث خطأ ما؟
كسر تحديات أمن المؤسسة
دور قائد أمن المؤسسة مرهق. يتطلب مواكبة الاحتياجات الأمنية لمبادرات تكنولوجيا المعلومات الجديدة. تتطلب المشاريع الجديدة تقييم المخاطر وتحديد مهارات الفريق المناسبة لتطبيقها. يتضح النقص في مهارات تكنولوجيا المعلومات في الأمن السيبراني للمؤسسات ويستمر في ممارسة الضغط على فرق الموارد المحدودة. في بعض الحالات ، قد يكون الاستعانة بمصادر خارجية هو الخيار الوحيد.
قد تبدأ مبادرات تكنولوجيا المعلومات التي تقودها الإدارة دون أي إشراف أمني ، مما يؤدي إلى مصطلح Shadow IT. سيجد فريق الأمان الذي يستجيب بعد وقوع "المشاريع القائمة" التي تواجه "المشاريع" صعوبة في تطبيق الوضع الأمني بشكل موحد عبر المؤسسة.
توليد الوعي مع المستخدمين النهائيين لدعم النظافة السيبرانية الأساسية يجب أن تكون عملية مستمرة تشمل كل جزء من المنظمة. التدريب السنوي على الامتثال السيبراني وجميع أشكال سياسات الإنترنت "الشرطة" يخلق احتكاكًا مع المستخدمين النهائيين. حتى أن بعض المنظمات تعطي الأولوية للنظافة السيبرانية الأساسية إلى جانب مبادرات الأمن الاستراتيجية.
أضف إلى هذه المتطلبات الحاجة إلى التواصل الفعال للمخاطر السيبرانية لأصحاب المصلحة في العمل ومواكبة عبء العمل المتزايد ، أدى قائد الأمن الحديث إلى سلوكيات حيث لا يستطيع الكثير "الانفصال" عن العمل ، والخوف من أخذ إجازة والعمل في البيئة التي يعتقدون فيها أن وقتهم محدود.
انظر ذات الصلة: الإرهاق من المهنيين الأمن السيبراني وصحتك
هل "فال جاي" جزء من الوصف الوظيفي؟
عندما يحدث خطأ ما ، يمكن جعل CISO على مستوى أعلى من نظرائهم. إذا أخطأ فريق المبيعات في تحقيق ربع هدف ، فهل يتخلى القائد؟ يوضح هذا الواقع مدى خطورة قائد الأمن وفي نفس الوقت يطرح السؤال "هل هذا عادل؟"
في راديو فرقة العمل 7 بودكاست، ناقش المضيف جورج ريتاس ومراسل الأمن السيبراني كيت سيز فاثيني كلاً من التدقيق الداخلي والعام الذي تضعه مؤسسات CISO الكبيرة عليها. قال ريتاس "سنمر جميعًا بيوم سيئ". وأضاف فزيني: "لا أعرف حادثة خرق واحدة لا تنطوي على قدر كبير من الصراع الداخلي".
بلغ الحديث ذروته بين Rettas و Fazzini عندما توصلوا إلى حقيقة مؤلمة. وقال ريتاس إن CISO "تحاول تأمين بنية تحتية وشبكة غير كاملة". "هل تعتقد أن هذه CISOs تستخدم كنوع من السقوط هنا؟"
"أعتقد أنهم يستخدمون بالتأكيد كرجل خريف" ، علق Fazzini. "لا يوجد CISO لن يخترق" في وقت ما.
تحول العديد من قادة الأمن إلى الفكاهة لإدارة هذا الضغط. خلال RSA ، سأل أحد CISO عما إذا كنت قد سمعت ما هو اختصار CISO الآن؟ ساخراً "ضابط التضحية الأولية".
وأشار فاتزيني كذلك إلى أن Equifax لم تحل محل CISO فحسب ، بل غيرت أيضًا أدوار الرئيس التنفيذي و CIO والعديد من الآخرين في أعقاب حادثة البيانات الخاصة بها. لم يكن CISO الجديد لديه خبرة أمنية كبيرة للمؤسسة فحسب ، بل كان معروفًا بقدرته على التحدث بلغة الرئيس التنفيذي ومجلس الإدارة.
تدعم هذه الملاحظة الحاجة إلى إعادة النظر في تعريف CISO ونقدر أنه قد يكون له شخصيات متعددة.
انظر ذات الصلة: 5 الجوانب الأكثر إرهاقا للأمن السيبراني
شخصيات CISO: استراتيجية وتكتيكية
تموج دور CISO مرتفع نسبيًا. وجدت دراسة أجريت في نوفمبر 2019 بواسطة Nominet من 800 CISO في المملكة المتحدة والولايات المتحدة متوسط دورة الحياة الآن 26 شهرًا فقط. أثر الإجهاد الناجم عن الوظيفة على كل شيء من العلاقات إلى الصحة العقلية CISOs. أسوأ حالة ستكون قطع الوظائف بسبب الإرهاق.
أدى هذا الإدراك لـ Cyber Security Hub إلى تغيير نهجنا تجاه الأسئلة والمحادثات الجارية. مع تزايد التوتر والقلق عبر مجال الممارسين ، ربما يكون تعريف CISO آخذ في التطور ولا يجب النظر إليه كهدف فردي.
مع استمرار الشركات في التوسع والرقمنة ، نلاحظ ديناميكية في السوق حيث تتماشى CISOs مع أحد النهجين (أو الأشخاص) - الاستراتيجي أو التكتيكي.
- • CISO التكتيكي يؤدي مع فهم التقنيات والأدوات والعمليات (في طيف عملية الناس وتكنولوجيا المعلومات). تحتاج المنظمات إلى "الوقوف" في برنامج أمني بسرعة ، وهذا الشخص في CISO ماهر في وضع السياسات والفوج. مع توسع متطلبات الأمن ، أصبح CISO التكتيكي أيضًا "أرضية الإغراق" للمسؤوليات الإضافية ، والتي قد تتوافق مع مهارات هذا الشخص أو لا تتوافق معها.
- • CISO الاستراتيجي يؤدي مع القدرة على ربط الضرورة الأمنية لأهداف العمل (المزيد من جوانب "الناس" و "المعلومات" من طيف تكنولوجيا معالجة المعلومات البشرية). العلاقات التي تم إنشاؤها مع أصحاب المصلحة الآخرين في المؤسسة تمكن شخصية CISO هذه من تقييم وضع المخاطر الكلي للأعمال ومجالاتها الوظيفية.
مع نمو المنظمة ، يتجه الاتجاه بشكل متزايد نحو المزيد من الفرص الاستراتيجية. المتطلبات التقنية لا تتناقص ؛ ومع ذلك ، فإن الطلب المستقبلي ليس كبيرا.
لا توجد شخصية CISO تبرر الحاجة إلى التعلم المستمر. سواء كانت هناك فرصة لاكتساب المزيد من المعرفة التقنية أو التجارية ، فإن المؤسسات تريد قادة أمنيين يمكن أن ينمووا مع الشركة.
خلق الوعي ل CISO الحديث
من الضروري إجراء مناقشة مفتوحة للتغلب على السلوك الحالي بين المنظمات وقادة الأمن. احتياجات كل منظمة فريدة من نوعها. فهم نضج البرنامج الأمني لمنظمة ما وما هو ضروري لتعزيز هذا الموقف الأمني أمر ضروري. إن محاذاة CISO والمنظمة ليست عملية قطع ملفات تعريف الارتباط وتتطلب جهدًا من كلا الطرفين لضمان نجاح الجميع.
انظر ذات الصلة: ست سمات من CISOs المؤسسة الناجحة
