CISO as a service
Så får du ett försprång som ny CISO
En intervju med vår globala CISO, Richard Jones.
En ny Chief Information Security Officer (CISO) upplever ofta sin första arbetsdag som överväldigande, då han eller hon konfronteras med en ny och ofta komplex miljö. Men de kan snabbt ta kontroll över situationen och få självförtroende för att gå vidare med sina planer genom att följa några enkla steg.
En CISO:s uppgift är att skydda företagets informationstillgångar, infrastruktur, personal och teknik. CISO spelar en viktig roll när det gäller att bedöma och minska informationsrisker.
Se dig själv som en strateg
Personer som arbetar som CISO är ofta ambitiösa personer som har sitt ursprung i någon form av arbete inom IT, kanske drift, riskanalys eller som IT-administratör. De har varit ansvariga för rutinuppgifter och aktiviteter. Plötsligt, som CISO, ombeds de att leda, vilket kan vara skrämmande.
Richard Jones, CISO på Orange Cyberdefense, anser att det första steget som en ny CISO bör ta är att "lämna sin roll med funktionellt ansvar bakom sig och se sig själv som strateg."
Strateger är inte ansvariga för att göra. De är ansvariga för att planera, utvärdera, sätta upp mål och målsättningar. CISO:s uppgift är att utveckla säkerhetsstrategier i linje med vad ett företag försöker uppnå som verksamhet.
"En CISO:s vision är inte längre idag, imorgon eller denna vecka. Det handlar om att uppskatta det förflutna och förutse framtiden. Detta kräver en betydande förändring i tankesättet, vilket inte sker över en natt", förklarar Jones.
Undersök organisationens säkerhetsstruktur
Varje ny CISO måste förstå den nuvarande mognaden och komponenterna i ett företags säkerhetsställning. Undersök interna och externa revisioner, eventuella säkerhetscertifieringar som företaget har och vad berörda parter kan ha sagt om företagets säkerhetsrutiner.
Förutom att intressenterna kan engageras kan dessa formella säkerhetsbedömningar hjälpa till att belysa eventuella uppenbara brister i säkerhetsprogrammet. Om det inte finns några revisioner eller bedömningar tillgängliga måste CISO prioritera en sådan.
"Det är en klyscha, men man kan inte planera vart man är på väg om man inte vet var man är. Denna bakgrundsinformation är avgörande för att planera cybersäkerhetsinsatser framöver", säger Jones.
Upprätta en samarbetsrelation med CIO
En CISO i en organisation är till för att definiera cybersäkerhetsstrategin. I slutändan börjar den strategin med informationstekniska system, det är viktigt att CISO:n bygger upp en stark relation med CIO:n och IT-teamet i stort för att genomföra produktiva och säkra initiativ.
Som strateg måste CISO se på hur säkerheten är involverad i IT-projekt, både nuvarande och tidigare, och hur den ingår i de övergripande livscyklerna. Riskhantering och säkerhet står högst upp på företagens agendor. CISO:s och CIO:s måste samarbeta för att balansera affärsbehov och risker. Detta inbegriper att uppskatta och förstå varandras miljöer.
Förstå vad användarna gör med sin data
En av CISO:s viktigaste uppgifter är att skydda organisationens digitala tillgångar, inklusive affärskritiska data och immateriella rättigheter. Men innan detta kan göras är det absolut nödvändigt att veta vilka data organisationen har och var de finns. Finns de på plats, lagras de i molnet eller hos tredje part?
Varje ny CISO måste förstå dataflödet och veta exakt vad användarna gör med uppgifterna. Det rekommenderas starkt att CISO:er har insyn i vem som har tillgång till vilka applikationer och en översikt över vilka data som skickas till applikationer eller laddas ner.
Gör säkerhet till ett diskussionsämne i hela företaget
Säkerhet är inte bara teknisk kompetens. Den berör varje hörn av företaget. Varje ny CISO måste ses som en ledare och fullt ut förstå hur cybersäkerhet och riskhantering passar in i organisationen i stort. Många CISO:s kämpar med detta. Den bästa vägen framåt, enligt Jones, är att samla ett forum från alla avdelningar, från HR och marknadsföring till ekonomi. Ta reda på vilka deras smärtpunkter är när det gäller till exempel krav på reglering och dataskydd.
"CISO är till för att skapa ett säkerhetsprogram som gör det möjligt för företaget att vara mer flexibelt och navigera säkert. Om CISO inte är kopplad till affärsavdelningarna och deras mål blir det omöjligt att förbättra företagets säkerhetsläge", förklarar Jones.
Samtidigt måste den nya CISO:n titta på säkerhetskulturen i hela organisationen. Är det en kultur med hög medvetenhet eller en kultur där man klickar på vad som helst? CISO måste främja en organisationstänkande där man inser att varje anställd bidrar till en säker organisation.
Planering för effektiv incidenthantering
I en uppkopplad värld där ingen organisation kan vara helt skyddad från en attack är en effektiv strategi för incidenthantering central för CISO:s roll. Ett intrång i cybersäkerheten är en organisatorisk kris, det är absolut nödvändigt att ha ett tvärfunktionellt team för att genomföra planen. "Det är viktigt att CISO ägnar tid åt incidenthanteringskapaciteten och ser till att den är stark", förklarar Jones. Förutom att begränsa intrånget är det också viktigt att ha planer på plats för att hantera konsekvenserna. Genom att kommunicera effektivt med alla de som brottet kan ha påverkat minskar till exempel risken för varumärkes-, regel- och rättsskador.
Och slutligen, förstå verksamheten
Som Gartner påpekar är CISO:s numera viktiga möjliggörare för digitala affärer. De är ansvariga för att hjälpa företaget att balansera de risker och fördelar som är förknippade med detta.[2] “Säkerhetsprogrammet gör företaget smidigare och gör det säkrare att navigera i sin kurs. CISO är där för att ge råd och vägleda. Om CISO inte är kopplad till verksamheten slutar det med att han eller hon genomför processer för processens skull, vilket kanske inte passar affärsinitiativen".
"Dagens CISO måste fokusera på idag och förstå begreppet business enablement, så kommer framtiden att bli bättre och ljusare", avslutar Jones
[1] SecureLink: The eight biggest concerns of CISOs explained
[2] CISOs for Digital Business https://www.gartner.com/en/information-technology/role/security-risk-management-leaders
Läs mer: