La serie Masked CISO di Vectra offre ai leader della sicurezza un luogo in cui esporre i maggiori problemi di sicurezza e consigliare i colleghi su come superarli.
La sicurezza informatica è una novità rispetto a settori come la gestione del rischio: l'assicurazione dei Lloyd's è stata fondata nel 1688! Il titolo di CISO è ancora più giovane, essendo apparso per la prima volta intorno al 2005. Ma il ruolo non è mai stato chiaramente definito e ogni CISO lavora in modo diverso.
Definire il ruolo non è facile quando la persona che assume il CISO può essere molto diversa. I CISO rispondono agli amministratori delegati, ai CIO, ai CTO e ad altri ancora, e le competenze necessarie dipendono dalla natura dell'azienda e dal suo referente. I CIO e i CTO vogliono un consulente tecnico, mentre i CRO tendono ad affrontare i problemi da una prospettiva di gestione del rischio. I CEO vogliono solo il mondo di ieri.
Non sorprende che i CISO siano tipicamente sottoposti a molte pressioni, il che porta a una regolare rotazione dei ruoli e al logoramento dei reparti di sicurezza. Tuttavia, questo fenomeno potrebbe essere fermato se ai CISO venissero date più autonomia e responsabilità.
Le linee di dipendenza non determinano il potere o il valore di un ruolo, ma quando la maggior parte dei CISO riporta ancora a un leader tecnico, questo limita la capacità di essere strategici e diluisce il valore. Affinché il ruolo di CISO sia alla pari di altri leader tecnici, dobbiamo essere in grado di sfidare i CIO e i CTO, per garantire che la sicurezza non sia costretta ad accettare rischi per soddisfare le richieste di progetti IT agili. Per come sono organizzati oggi i ruoli di CISO, saremmo fortunati se ci trovassimo in una situazione in cui la collaborazione esiste. E quando non c'è, siamo costretti ad accettare rischi crescenti senza avere gli strumenti per affrontarli.
CISO espandere le proprie competenze e guadagnare influenza
Se un CISO è abbastanza fortunato da assumere il proprio sostituto, noi creiamo la descrizione del lavoro e naturalmente il successore ideale tenderà ad avere un set di competenze simili... tendenti al lato tecnico. Sebbene sia essenziale comprendere ciò che fanno i team di sicurezza, per accrescere l'influenza del CISO, è fondamentale sviluppare competenze trasversali, come la comunicazione con gli stakeholder, l'acume commerciale e la pianificazione strategica. In caso contrario, rimarremo bloccati nel SOC e tenuti fuori dalla sala riunioni per altri 20 anni.
Per i CISO che desiderano avere la massima influenza nella loro organizzazione, cercate quanto segue:
- Un ruolo che richiede la supervisione di attività tecniche senza eseguirle: ho visto CISO coinvolti nella gestione degli incidenti a causa di aspettative errate. Non è una posizione sana per un dirigente.
- Capire dove la sicurezza si inserisce nella strategia aziendale: è una parte essenziale del modello di business o il ruolo sarà prevalentemente tecnico? Sarete troppo impegnati a spegnere gli incendi per guidare il cambiamento?
- Esaminate l'attuale catena di processi per la sicurezza e chiedete se è matura: l'azienda segue processi e politiche definiti, ha un piano di risposta agli incidenti maturo? Questo vi darà una buona idea di dove dovrete spendere il vostro tempo.
- Assicuratevi di avere il controllo degli acquisti: non potete risolvere il gap di competenze lanciando più prodotti a un team sovraccarico.
I CISO di successo devono essere in grado di aggiornare i controlli di sicurezza, sostituendo i vecchi strumenti con soluzioni che riducono l'impegno manuale e danno priorità alle azioni, come il rilevamento e la risposta dell'intelligenza artificiale.
Questo blog è stato pubblicato per la prima volta su The Register.