Die CISO-nakomingsvaardighede-dilemma
Is daar 'n algemene tekort aan mense met die vereiste vaardighede om in die rol van CISO te tree? Met tegnici wat nie met die direksie kan skakel nie en bestuurstipes wat nie ernstig opgeneem word deur die tegnologieë nie? Wat van daardie vaardighede wat nakoming en regulering benodig? Is hulle ook 'n tekort? Dan Raywood evalueer die probleem.
Die kwessie van die vaardigheidsgaping is lank reeds gedebatteer, veral met betrekking tot diegene wat geskik is om die verantwoordelikhede van die CISO op te neem.
Sowel as die selfvertroue om te praat en aan die direksie verslag te doen, is daar oorwegings oor die vraag of die CISO tegnies vaardig moet wees en bewus moet wees van die werking en konfigurasies van die verdediging, asook dat hulle sekuriteitsbewustheid kan versprei en bestuur risiko regdeur die organisasie.
As dit na baie klink om op 'n persoon se bord te sit, oorweeg die voldoeningselement. Ja, Bestuur, Risiko en Nakoming (GRC) is die hoekstene van 'n maatskappy se sekuriteitsplan, maar hoeveel word nakoming van die CISO se vaardighede in ag geneem, en is daar 'n nuwe vaardigheidstekort aan voldoeningsraamwerke en -regulasies vir die toekomstige CISO?
In navorsing Ek het in 2019 vir Infosecurity Magazine gedirigeer, ek was betrokke by studente, mense op werkplasings en diegene wat hul loopbane in kuberveiligheid begin. In daardie geval het ek diegene wat ons ondervra het gevra of hulle weet wat BBP, PCI DSS en PSD2 was en hoe hulle verskil het. Ons het 54 antwoorde ontvang, waarvan 35 positief en 19 negatief was.
Daardie spesifieke regulasies het baie aandag gehad, en die konsep van BBP moes nie die gemiddelde persoon op straat ontsnap het nie, maar vanuit 'n veiligheidsleierskapsperspektief, is dit voor die hand liggend wat gedoen moet word om hierdie gaping te vul, en is daar 'n kennisgaping oor voldoening aan voldoeningsbehoeftes?
Brian Honan, HUB van BH Consulting, glo daar is 'n tekort aan ervare mense wat as CISO's beskikbaar is. Met die druk vir organisasies om te demonstreer dat hulle "sekuriteit ernstig opneem", word baie mense in die CISO-rol aangestel wat dalk nie daarvoor geskik is nie.
“Baie onervare CISO's is geneig om op die tegniese aspekte van hul funksie te fokus aangesien dit dikwels is waar hulle die gemaklikste voel; hulle mag egter nie ondervinding hê in kuberrisikobestuur, beleidsontwikkeling en implementering, of die ontwikkeling van ’n doeltreffende bewusmakingsprogram nie,” sê hy.
Nog 'n kwessie waarmee CISO's dikwels sukkel, is om die nakomingsprogram net op die sekuriteit of die IT-funksie binne 'n organisasie te fokus, beweer Honan, aangesien "in baie gevalle 'n nakomingsprogram op die hele organisasie van toepassing is en nie net daardie funksies nie."
Om voldoening te verstaan en te implementeer is meer as om dit net by jou sekuriteitspan en lae van verdediging in te pas, maar ook in die breër organisasie.
"Die ander probleem wat ek dikwels sien met regulatoriese voldoeningsvereistes soos GDPR of die Britse Databeskermingswet, is dat baie CISO's net fokus op die sekuriteitselement van daardie regulasies wat daartoe lei dat die organisasie nie ten volle voldoen nie," sê hy.
Rowenna Fielding, direkteur van Miss IG Geek Bpk, sê uit haar verbintenisse met kliënte en ander in die sekuriteitsbedryf, "Ek kan beslis sê dat daar aansienlike leemtes met betrekking tot die GDPR is." In die besonder, sê sy, "het kommerwekkend min sekuriteitsmense 'n sterk begrip van wat 'persoonlike data' eintlik beteken (die meeste verwar dit met PII)" in 'n poging wat "elke GDPR-nakomingsaktiwiteit waarby hulle betrokke is, ondermyn deur die omvang te stel uit die staanspoor te smal.”
Op die vraag waarom hul werkgewers nie in effektiewe, betekenisvolle opleiding sal belê om aan voldoeningsvereistes te voldoen nie, sê Fielding dit word dikwels gesien as dit te veel kos, "en om die ontspanning en fondse te hê om op 'n individuele basis opvoeding te soek, is 'n luukse."
Sy sê 'n uitdaging is dat daar dikwels te veel produkbemarking is wat belowende versekering oor die bereiking van voldoening is, aangesien "voldoeningsmense desperaat soek na 'oplossings' (insluitend uitkontraktering) wat hulle hoop van die geweldige kognitiewe las van die werk sal verlig, maar die ' oplossings self verg nog baie menslike inspanning om hul funksies op te stel, te monitor, te kontroleer, aan te pas en te onderhou – bo en behalwe al die nuwe risiko's wat die oplossings self inhou.”
Owanate Bestman is die stigter van die kuberveiligheidspersoneelhulpbronfirma Bestman Solutions, en gevra of hy voel daar is 'n tekort aan vaardighede op hierdie gebied, sê hy daar is nie, aangesien daar dikwels te veel huurmaatskappye is wat "na eenhorings soek om die CISO-titel te klap". aan” wanneer regtig die besigheid iemand soek om GRC te doen en met reguleerders te werk.
As daar 'n tekort aan mense is wat nodig is om die vereistes van voldoening en regulatoriese raamwerke te vervul, moet daar 'n oorweging wees van die risiko dat die rolle nie vervul word nie. As iemand nie verantwoordelikheid op 'n senior vlak neem nie, is daar 'n gevaar dat dit ongedaan gelaat word?
Honan sê daar is 'n kwessie van CISO's wat raamwerke, standaarde en selfs wetlike verpligtinge afmaak as 'n onnodige bokoste wat hulle nie "enigsins veiliger sal maak" of selfs die argument aanhaal dat "beleide nie 'n kuberkraker sal stop nie".
"Wat hulle dikwels ontbreek, is dat die vereistes wat in wette en raamwerke uiteengesit word, daar is om 'n gestruktureerde benadering tot sekuriteit te bied en om besigheidsverbintenis tot beter sekuriteit te verseker," sê hy. "'n Goeie CISO sal verstaan hoe raamwerke, standaarde en wetlike verpligtinge kan help om risiko vir die besigheid te verminder, terwyl hulle terselfdertyd hulpbronne kry wat hulle nodig het om die organisasies beter te beveilig."
Die opsies om te leer wat nodig is om nakoming in 'n organisasie moontlik te maak, is daar buite, maar die voorkomende elemente is koste en tyd eerder as 'n volledige gebrek aan vaardighede. "Ek dink nie daar is 'n gebrek aan vaardigheid daar buite nie, maar daar is beslis 'n onhanteerbare verhouding van beskikbare breinkrag tot taakvraag." Fielding stem saam en sê mense het alles wat hulle nodig het vir voldoening behalwe die tyd en energie om dit effektief toe te pas.
