Traditionellt har CISO:s fokus legat på att hålla angripare utanför organisationen. Men CISO:s roll utvecklas snabbt: de måste utveckla mjuka färdigheter för att driva strategin genom alla nivåer i organisationen och översätta riskerna till ett språk som alla förstår. I den här bloggen sammanfattar Orange Cyberdefenses CISO för Nederländerna, Tamara Hendriksen, tio tips för att hjälpa moderna CISO:er att överbrygga klyftan mellan teknik och affärsverksamhet för att minska riskerna.
För att lyckas som CISO krävs mer än teknisk kunskap. I dag ses CISO:s inte bara som säkerhetsansvariga utan även som affärsmässiga möjliggörare. De fungerar som ambassadörer för säkerhetsinitiativ i hela organisationen. Därför måste de förbättra sina mjuka färdigheter, t.ex. kommunikation, empati och lagledarskap. CISO:s förväntas förstå och minska riskerna och förmedla information till hela organisationen som är lättförståelig och lätt att förstå.
För att en CISO ska få ledningens stöd för sin säkerhetsplan måste han eller hon anpassa den till verksamheten och se till att den är tillräckligt smidig och flexibel för att följa med i marknadsförändringar. En CISO bör förstå organisationens struktur och hur olika avdelningar arbetar inom dess ekosystem.
För att lyckas måste en CISO förstå hur styrelsen arbetar om han eller hon inte har en plats vid ledningsbordet. Ett konstruktivt förhållande kan till exempel förbättra CISO:s förmåga att påverka och effektivt hantera informationssäkerhetsrisker. Det bör finnas en process för rapportering till styrelsen så att CISO:n kan bidra med värde till beslutsfattandet. Det är viktigt att kvantifiera säkerhetsrisker i termer av affärspåverkan.
Många CISO:s arbetar med ett litet team, så tiden är en stor begränsning. Bristande budget, bristande mandat eller en styrelse som inte förstår informationssäkerhets- och integritetsrisker kan vara tidskrävande i form av bristande resurser och rapportering. Tid måste läggas på tekniska aspekter, men det är viktigt att CISO:s också fokuserar på strategi, förståelse av affärsmål och interaktion med viktiga intressenter. Ibland kan framstegen vara långsamma, men CISO:s får inte bli demotiverade av detta.
Nya program och tillämpningar för cybersäkerhet introduceras dagligen. Hoten blir alltmer sofistikerade och utmanande, och därför måste CISO:s ansvariga för säkerhetsfrågor ta ett strategiskt grepp om säkerheten för att skydda organisationen. Förändrade marknader kommer att förändra affärsprocesser och teknik. CISO:s behöver tydlig insyn och en helhetsbild av vad som utgör kärnverksamheten och strategisk kunskap om de bästa verktygen som lanseras för att skydda dem. Det viktiga är att fortsätta att lära sig.
Vd:ar måste idag veta exakt varför de prioriterar vissa organisatoriska tillgångar framför andra. Var finns de mest affärskritiska tillgångarna eller kronjuvelerna, var finns anslutningarna till omvärlden och var finns de svaga punkterna? Genom att regelbundet utföra risk- och affärskonsekvensbedömningar kan man hjälpa till med kunskapen här. CISO:s måste kunna tillhandahålla denna information till VD:arna på ett lättsmält sätt. CISO:s bör omedelbart veta var uppgifterna finns, vilken typ av uppgifter som skyddas och vilka områden som kan behöva mer skydd.
Tekniska verktyg är viktiga för en CISO:s roll och bidrar till att ge insikter om sårbarheter och problem. CISO:er får dock inte förlita sig enbart på tekniska mått, eftersom de kan skapa en falsk känsla av säkerhet. Organisationer kan fortfarande vara mycket sårbara för insiderhot eller mänskliga misstag genom till exempel phishingmejl.
Det är viktigt att ändra användarnas beteende och utbilda dem i cyberrisker, särskilt när anställda i allt större utsträckning får tillgång till innehåll och program på distans. För att dessa budskap ska fastna, tar smarta CISO:er ett interaktivt och personligt grepp så att dessa åtgärder blir en självklarhet.
CISO:s måste anpassa sig till det faktum att allt större mängder data lagras utanför organisationen. Det finns fler uppkopplade enheter och de anställda använder sina enheter och molnet för att lagra och arbeta med data. CISO:er måste ständigt tänka om när det gäller mobilsäkerhet och se till att de anställda arbetar enligt bästa praxis.
CISO:s måste ligga steget före internationella bestämmelser. På grund av förändrade krav kan organisationer behöva förbättra sitt dataskydd för att säkerställa sekretess och tillgänglighet för data i vissa regioner, till exempel. Straffen för bristande efterlevnad kommer troligen att bli mycket hårdare, och styrelsen kommer att se till att CISO:erna kan lägga upp strategier kring dem för att uppnå affärsresultat.
Organisationer drabbas allt oftare av böter och stämningar på grund av överträdelser och bristande efterlevnad. Styrelser måste förstå hur kritiskt ett intrång är, hur dess juridiska konsekvenser kan påverka en affärsprocess och hur företagets efterlevnad kan påverka en överträdelse.
I slutändan måste cheferna förstå cyberriskerna för att kunna fatta smarta beslut som fungerar bäst för en organisation. De vill inte att säkerheten ska användas för säkerhetens skull, utan måste veta att det finns ett tillräckligt skydd för att minska riskerna så mycket som möjligt. Och de vill veta vad den risken innebär i affärstermer.
Om du vill veta mer om detta kan du ladda ner hela CISO:s guide till effektivt ledarskap och få ett försprång.
Ladda ner CISO-guiden