Üretkenlik ve güvenlik: CIO’lar ve CISO’lar nasıl aynı fikirde olabilir?

O gelince siber güvenlikOrganizasyonlar genellikle ince bir çizgide yürürler. Elbette mümkün olan en sağlam savunmayı istiyorlar. Ancak aynı zamanda, üretkenliği yavaşlatan müdahaleci güvenlik gereksinimleriyle çalışanlara aşırı yük getiren çözümler istemiyorlar.

Mükemmel bir örnek çok faktörlü kimlik doğrulamaveya MFA’dır. Artan sayıda kimliğe dayalı saldırılara karşı güçlü bir caydırıcı olduğu kanıtlanmış olsa da birçok kuruluş, çalışanların sağduyulu güvenlik protokolünü benimsemesinde yavaş davrandı. gereken ekstra adımlardan nefret ediyorum Düzenli olarak kullandığınız sistemlere giriş yapmak için.

Güvenlik ve verimlilik arasındaki hassas dengeyi yönetmek genellikle CIO’nun ve CISO’nun sorumluluğundadır. Siber güvenlik, çoğu işletmede yapay zekanın beklenen büyümesinin getirebileceği yeni risklerle birlikte giderek daha da kurumsal çapta bir risk haline gelirken, CIO ve CISO’nun şirketlerinin BT varlıklarının korunmasını sağlamak için her zamankinden daha yakın çalışması gerekiyor. Son kullanıcılar için mümkün olan en az kesinti.

Uzun yıllar boyunca kuruluşlar siber güvenliği genellikle bir “kutuyu işaretleme” işlevi olarak gördü. İşletmeler, Ulusal Standartlar ve Teknoloji Enstitüsü’nün (NIST) belirlediği standartlara uymak için asgari düzeyde çaba göstermiş olabilir. Ancak her ikisinde de bir dalgalanmanın ortasında kadans ve olayların türüKuruluşlar artık bir siber saldırının potansiyel finansal ve itibar risklerinin farkına varıyor.

Ve tıpkı yirmi yıl önceki Enron skandalının işletmeler için yeni nesil uyumluluk gerekliliklerini başlatması ve C-Suite içinde finans müdürü rolünü daha fazla öne çıkarması gibi, siber saldırıların artan sıklığı ve yoğunluğu da bugün daha büyük bir ilgi odağı haline getiriyor. üzerinde CISO.

Ancak yine de birçok CISO daha fazla risk ve uyumluluk sorumluluğu üstlendiğinden, güvenlik profesyonellerinin, ekibi birçok güvenlik uygulaması ve prosedürünü operasyonel hale getiren CIO ile nasıl daha yakın çalışacaklarını öğrenmeleri zorunludur.

Bölünmeyi anlayın

Sırasında CISO’lar Günlerini, kaçınılmaz olarak gerçekleşeceğini bildikleri bir siber saldırıyı tespit etme ve bu saldırıdan kurtulma konusunda endişelenerek geçirirlerse, CIO’lar bu riskleri tam olarak karşılayamayacak kadar zayıf bir alana yayılmış olabilir. Bunun yerine zihinleri, şirketlerinin altyapısını nasıl modernize edecekleri ve iş gücünün daha üretken olmasını nasıl sağlayacakları üzerine düşüncelerle meşgul. Ve giderek artan bir şekilde CIO’lara kuruluşun yönetimiyle görev veriliyor. Yapay zeka stratejisi.

Sonuç olarak, iki rolün çatışması alışılmadık bir durum değil. CIO’lar genellikle çalışanlardan, kendilerini yapmaları gereken işten ayıran herhangi bir ek adımla (MFA gibi) ilgili şikayetlerle doludur. Aynı zamanda CIO’nun üretkenliği artırabilecek değişikliklerin nasıl ciddi güvenlik riskleri yaratabileceğini anlaması gerekiyor.

Örneğin, bir video konferans görüşmesindeki birden fazla çalışanın tümü oturumu kaydediyorsa, artık muhtemelen farklı konumlarda saklanan ve potansiyel olarak hassas bilgiler içeren birden fazla dosya vardır. Büyük bir kuruluşta belirli bir günde gerçekleşmesi muhtemel görüntülü aramaların sayısı göz önüne alındığında, sonuçların nasıl sonuçlandığını görmek kolaydır. güvenlik açıkları CISO için büyük bir endişe haline gelebilir.

İşletme için doğru CISO’yu işe alın

CIO-CISO ilişkisinin yürümesi için işletmelerin aynı zamanda bir CISO’da ihtiyaç duydukları beceri türünü ve kurumu ileriye taşımak için ihtiyaç duyulacak uzmanlık türünü de anlaması gerekir.

Örneğin, çoğu orta ölçekli kuruluş bile öncelik vermiyor olabilir siber güvenlik henüz. Elbette tehdit ortamının ciddiyetinin farkındalar. Ancak risk yönetimi komiteleri, BT güvenliği hakkında fazla düşünmek yerine, gelecekteki üretim yeteneklerini garanti altına almak için tedarik zincirini çeşitlendirmek gibi diğer konulara odaklanabilir.

Bu durumda, kuruluşun, şirketin BT ortamını savunmanın teknik yönlerine yeni bir odak noktası getirecek ve kaçınılmaz saldırıya yanıt olarak bir kurtarma planı geliştirecek bir CISO’yu işe alması akıllıca olacaktır. Ancak iş belli bir büyüklüğe ulaştığında yatırımcılar siber güvenliğin kurumsal bir risk olarak ele alınmasını talep etmeye başlayacak ve bu da konuyu yönetim kurulu düzeyinde bir sorun haline getirecek. İşte o zaman şirket, uyumlulukla daha ilgili bir geçmişe sahip bir CISO’yu işe almayı düşünmelidir.

Doğru aday kuruluşa girdikten sonra CIO, CISO’nun başarıya hazır olduğundan da emin olmalıdır. Örneğin, CISO’nun üst yetkisi daha çok kurumsal risk yönetimine yönelikse, işletme bir başkan yardımcısı bilgi güvenliği görevlisi (biz buna “küçük harfli ciso” diyoruz) – yalnızca işin teknik yönünü yönetmekle görevli biri – işe almalıdır. savunma operasyonu.

Bu şekilde CISO, daha geniş siber güvenlik stratejisi konusunda CIO ile uyum sağlamaya ve bu planları yönetim kurulu da dahil olmak üzere diğer liderlere iletmeye daha fazla zaman ayırabilir. Bu arada “ciso” günlük işleri halledebilir, hatta belki kendileri de bazı kodlamalar yapabilir.

CISO’yu işletmeye bağlayın

CISO zor bir pozisyon olabilir. Giderek daha karmaşık hale gelen ve geniş bir alana yayılan BT ortamlarını korumaya yönelik tipik görev inanılmaz derecede geniştir. Aynı zamanda CISO’ların alan denetimi çok azdır. Gerekli prosedürleri ve politikaları uygulamak için tüm kuruluş genelinde çalışmalı ve çeşitli kilit paydaşların desteğini almalıdırlar.

CISO’lar sıklıkla iş dünyasından sert bir dirençle karşılaşırlar, özellikle de güvenlik şefi iş birimi liderlerinin ve ekiplerinin çalışmaya alışma şeklini etkileyecek önlemler uygulamak istiyor. Bu nedenle CIO, CISO’nun CMO, CFO, global satış müdürü veya ilgili yönetici liderle birlikte herhangi bir fonksiyon gibi uygun liderlerle doğrudan temas hattına sahip olduğundan emin olmalıdır.

Her ne kadar CISO nihai yetkiye sahip olmasa da, bu bölüm liderleri güvenlik şefinin tavsiyelerini ciddiye almalıdır. CIO, CISO ile uyum sağlayarak neyin uygulanması gerektiği konusunda fikir birliğine vararak bu çabaya yardımcı olabilir.

Saldırılar sırasında liderlik etmesi için CISO’yu güçlendirin

Bir bulut depolama merkezinin çökmesi gibi temel operasyonel sorunlara gelince, CIO’nun liderliği ele alması gerekir. Bununla birlikte, bir siber olay meydana geldiğinde CISO, minimum kesinti süresi ve veri kaybıyla zamanında ve kapsamlı bir kurtarma sağlamak için oluşturulmuş müdahale planını uygulama yetkisine sahip olmalıdır.

Ancak CISO’lar aynı zamanda otoritelerinin nerede bittiğini de anlamalıdır. Örneğin, bir fidye yazılımı saldırısı durumunda, ödeme kararı sonuçta yönetim kurulu ve CEO gibi sektördeki diğer liderlerin sorumluluğunda olacaktır.

yapay zekanın yükselişi ve dijital olarak bağlantılı bir işletme olma yönündeki çaba, artan üretkenlik ile artan güvenlik riskleri arasındaki tartışmaya yeniden dikkat çekiyor. Bir yöne çok fazla eğilmek, işletmeyi daha fazla saldırıya açık hale getirebilir veya çalışanların işlerini yapma becerilerini önemli ölçüde engelleyebilir. Her iki durumda da sonuçta şirket zarar görmektedir.

BT ile güvenlik arasındaki ayrımlar hızla ortadan kalkıyor; işletme içindeki organizasyonel engeller de aynı şekilde olmalıdır. Teknoloji bir şirketin temel işlevlerini giderek daha fazla yönlendirdikçe, meşhur BT tahterevallisini nasıl dengede tutacaklarını öğrenmek CIO’lara ve CISO’lara düşüyor.

Reza Morakabati CIO’dur Commvault.