Liderzy IT w Wielkiej Brytanii i Irlandii są coraz bardziej świadomi wartości, jaką im poświęcają dyrektorzy ds. bezpieczeństwa informacji (CISO) mogą zaoferować swoim organizacjom, a 73% twierdzi obecnie, że wypełniło tę rolę, co stanowi wzrost o 35% rok do roku, a 15% planuje zatrudnienie od teraz do 2026 r.
Jednak według nowych danych opublikowanych dzisiaj przez operatora platformy brzegowej chmury Szybko, liderzy IT nadal nie w pełni rozumieją rolę CISO. Chociaż 35% uważa obecnie, że CISO są kluczowi do ochrony przedsiębiorstw przed zagrożeniami cybernetycznymi, 27% stwierdziło, że zasadniczo tak było działać w roli kozła ofiarnego w trudnych sytuacjach.
Podobna liczba, 23%, uważa, że na CISO nakłada się zbyt dużą odpowiedzialność prawną i operacyjną, co może spowodować konflikt z innymi działami, a 39% uważa, że muszą dogłębnie zrozumieć wszystkie obszary IT, nie tylko cybernetyczne. bezpieczeństwo, choć spadło w porównaniu z 2022 r.
Ponadto 24% uważało, że CISO są zarówno przepracowani, jak i słabo opłacani, ale 18% uważa, że ta rola zapewnia niski stosunek jakości do ceny.
„Stojąc w obliczu – i próbując zaplanować – bezprecedensowych wyzwań związanych z bezpieczeństwem cybernetycznym w 2024 r., brytyjskie firmy skonsolidowały wysiłki, aby zatrudnić profesjonalistę, który będzie w stanie przejąć kontrolę nad strategią bezpieczeństwa cybernetycznego” – powiedział Fastly CISO Marshall Erwin. „Jednak nasze dane sugerują, że nadal istnieje niejasność co do faktycznej roli CISO. Ta rozbieżność zdań podkreśla, jak ewoluowała ta rola w ostatnich latach, szczególnie w obliczu wyzwań związanych ze stanem bezpieczeństwa organizacji i rosnącym krajobrazem zagrożeń”.
Powiedział, że tradycyjnie CISO ograniczali się do IT i zarządzania ryzykiem, ale postrzeganie tej roli obecnie się zmienia, a liderów bezpieczeństwa zaczęto postrzegać jako liderów biznesowych odpowiedzialnych za strategiczny kierunek biznesowych strategii cybernetycznych – co może być tam, gdzie pojawia się brak zrozumienia.
„W ciągu dwóch lat większość brytyjskich i irlandzkich firm obejmie rolę CISO” – powiedział Erwin. „Aby organizacje mogły efektywnie pracować, organizacje wyraźnie muszą lepiej zrozumieć rolę działów IT”.
Odwieczny problem
Rozdźwięk między tym, co faktycznie robią CISO, a tym, czego oczekują od nich ich organizacje, stał się odwiecznym problemem w miarę wzrostu znaczenia tej roli, a komunikacja między liderami ds. bezpieczeństwa a innymi, mniej kompetentnymi częściami przedsiębiorstwa – zwłaszcza zarządami firm – często blokuje więcej zrozumienie.
Kolejny niedawny raport opracowany przez Ninjaspecjalista ds. szkoleń, testowania i raportowania w zakresie cyberbezpieczeństwa, przedstawił trzy kluczowe kroki, które powinni podjąć CISO, aby przejąć inicjatywę i spróbować wypełnić tę lukę poprzez poprawę edukacji w zakresie bezpieczeństwa.
Dane Ninjio wykazały, że 58% CISO miało trudności z komunikowaniem się językiem technicznym w sposób zrozumiały dla kadry kierowniczej wyższego szczebla, dlatego pierwszym krokiem, aby zaradzić temu problemowi, jest przedstawienie podstawowych koncepcji cybernetycznych w zrozumiałym języku. W szczególności CISO mogą opierać się na rzeczywistych konsekwencjach cyberataków, opierając się na kosztach finansowych, zagrożeniu utratą klientów, uszczerbku dla reputacji marki i tak dalej.
Biorąc pod uwagę, że prawie 75% udanych naruszeń wiąże się z czynnikiem ludzkim, CISO powinni również spróbować skorzystać z narzędzi oceny bezpieczeństwa cybernetycznego (CSAT), wdrażając je strategicznie, aby pokazać liderom biznesowym – a także zwykłym pracownikom – jaką taktykę mogą zastosować wobec nich aktorów zagrażających i umożliwienie im zrobienia więcej, nie obciążając ich własnych pleców.
Trzecim krokiem jest nadanie priorytetu odpowiedzialności w celu zbudowania trwałego wsparcia dla bezpieczeństwa w organizacji. Ponieważ krajobraz zagrożeń stale się zmienia, świadomości bezpieczeństwa nie można traktować jako ćwiczenia polegającego na odhaczaniu okienek, a wiele osób po stronie odbiorcy może szybko zapomnieć, czego się nauczyło. Ciągłe wzmacnianie i testowanie może pomóc w rozwiązaniu tego problemu.
„Ostatecznym celem każdego programu podnoszenia świadomości w zakresie cyberbezpieczeństwa jest ustanowienie kultury cyberbezpieczeństwa” – powiedział dyrektor generalny Ninjio, Shaun McAlmont. „Z mojego doświadczenia jako lidera wykonawczego w branży edukacji i bezpieczeństwa nauczyłem się dwóch ważnych aspektów zdobywania poparcia na poziomie zarządu: jasne sformułowanie celu końcowego, a następnie wyjaśnienie, w jaki sposób mierzony jest postęp i sukces.
„Zaobserwowaliśmy ostatnio wzrost liczby zarządów, dla których priorytetem było ogólne bezpieczeństwo swoich firm; a w miarę jak zwiększają swoje inwestycje w bezpieczeństwo cybernetyczne, zadaniem CISO jest pomóc im w jak najlepszym wykorzystaniu zasobów” – powiedział.