CISO-vaatimustenmukaisuustaitojen dilemma

Puuttuuko yleisesti ihmisistä, joilla on tarvittavat taidot astuakseen CISO:n rooliin? Tekniikkojen kanssa, jotka eivät voi olla tekemisissä hallituksen kanssa, ja johtotyypeillä, joita teknikot eivät ota vakavasti? Entä ne taidot, jotka tarvitsevat vaatimustenmukaisuutta ja sääntelyä? Onko niistäkin pulaa? Dan Raywood arvioi ongelman.

Ammattitaitovajeesta on keskusteltu pitkään, erityisesti niille, jotka soveltuvat ottamaan vastaan ​​CISO:n velvollisuuksia.

Luottamuksen lisäksi puhua ja raportoida hallitukselle, pohditaan, pitäisikö CISO:n olla teknisesti asiantunteva ja olla tietoinen puolustuksen toiminnasta ja kokoonpanoista sekä siitä, että he pystyvät levittämään turvallisuustietoisuutta ja hallitsemaan riskiä koko organisaatiossa.

Jos se kuulostaa paljon istua henkilön lautaselle, harkitse vaatimustenmukaisuuselementtiä. Kyllä, Governance, Risk and Compliance (GRC) ovat yrityksen turvallisuussuunnitelman kulmakiviä, mutta kuinka paljon vaatimustenmukaisuus huomioidaan CISO:n taidot, ja onko tulevan CISO:n vaatimustenmukaisuuden viitekehyksestä ja säännöksistä pulaa?

In tutkimus Toimin Infosecurity Magazinessa vuonna 2019, olin tekemisissä opiskelijoiden, työharjoittelussa olevien ja kyberturvallisuusuransa aloittavien kanssa. Siinä tapauksessa kysyin haastatelluilta tietävätkö he mitä GDPR, PCI DSS ja PSD2 olivat ja miten ne erosivat. Saimme 54 vastausta, joista 35 oli positiivisia ja 19 negatiivisia.

Näihin erityisiin asetuksiin on kiinnitetty paljon huomiota, ja niiden käsite GDPR ei olisi pitänyt paeta tavallista kadulla olevaa ihmistä, mutta onko turvallisuusjohtajuuden näkökulmasta selvää, mitä on tehtävä tämän aukon täyttämiseksi, ja onko tietovajetta vaatimustenmukaisuustarpeiden täyttämisessä?

Brian Honan, BH Consultingin toimitusjohtaja, uskoo, että kokeneista CISO-henkilöistä on pulaa. Organisaatioiden paineessa osoittaa, että he ottavat "turvallisuuden vakavasti", CISO-rooliin nimitetään monia ihmisiä, jotka eivät ehkä sovellu siihen.

"Monet kokemattomat CISO:t keskittyvät yleensä toimintansa teknisiin puoliin, koska siellä he usein tuntevat olonsa mukavimmaksi; Heillä ei kuitenkaan välttämättä ole kokemusta kyberriskien hallinnasta, politiikan kehittämisestä ja toimeenpanosta tai tehokkaan tietoisuusohjelman kehittämisestä”, hän sanoo.

Toinen ongelma, jonka kanssa CISO:t usein kamppailevat, on vaatimustenmukaisuusohjelman keskittäminen vain organisaation tietoturva- tai IT-toimintoihin, Honan väittää, koska "monissa tapauksissa vaatimustenmukaisuusohjelma koskee koko organisaatiota, ei vain näitä toimintoja."

Vaatimustenmukaisuuden ymmärtäminen ja toteuttaminen on enemmän kuin vain sen sovittamista tietoturvatiimiisi ja puolustustasoihin, vaan myös laajempaan organisaatioon.

"Toinen ongelma, jonka näen usein säännösten noudattamista koskevissa vaatimuksissa, kuten GDPR tai Yhdistyneen kuningaskunnan tietosuojalaki, on se, että monet CISO:t keskittyvät vain näiden säädösten turvallisuuselementteihin, mikä johtaa siihen, että organisaatio ei ole täysin vaatimusten mukainen", hän sanoo.

Rowenna Fielding, Miss IG Geek Ltd:n johtaja, sanoo asiakkaiden ja muiden turvallisuusalan toimijoiden kanssa käymissään vuorovaikutussuhteissa: "Voin ehdottomasti sanoa, että GDPR:ssä on merkittäviä aukkoja". Hän sanoo erityisesti, että "hälyttävän harvoilla turvallisuushenkilöillä on vankka käsitys siitä, mitä 'henkilötiedot' todellisuudessa tarkoittaa (useimmat sekoittavat sen henkilökohtaisiin tunnistetietoihin)", mikä "heikentää jokaista GDPR-vaatimustenmukaisuutta, johon he osallistuvat, asettamalla laajuuden. liian kapea alusta alkaen."

Kysyttäessä, miksi heidän työnantajansa eivät investoi tehokkaaseen ja tarkoituksenmukaiseen koulutukseen täyttääkseen vaatimustenmukaisuuden vaatimukset, Fielding sanoo, että sen katsotaan usein olevan liian kalliita, "ja vapaa-ajan ja varojen hankkiminen yksilökohtaiseen koulutukseen on luksusta."

Hänen mukaansa haasteena on se, että tuotemarkkinoinnissa on usein liian paljon lupaavia takeita vaatimustenmukaisuuden saavuttamisesta, sillä "säännösten noudattamisesta vastaavat ihmiset tavoittelevat epätoivoisesti "ratkaisuja" (mukaan lukien ulkoistaminen), joiden he toivovat vapauttavan osan työn valtavasta kognitiivisesta kuormituksesta, mutta Itse ratkaisut vaativat edelleen paljon inhimillistä työtä toimintojensa määrittämiseksi, valvomiseksi, tarkistamiseksi, mukauttamiseksi ja ylläpitämiseksi – kaikkien niiden uusien riskien lisäksi, joita ratkaisut itse tuovat mukanaan.

Owanate Bestman on kyberturvallisuushenkilöstöresurssiyrityksen Bestman Solutionsin perustaja, ja häneltä kysyttiin, onko hänen mielestään pulaa osaamisesta tällä alalla, mutta hän sanoo, että ei ole, koska usein on liian monta vuokrausyritystä, joka "etsii yksisarvisia lyömään CISO-tittelin. on”, kun yritys todella etsii henkilöä, joka tekee GRC:tä ja työskentelee sääntelyviranomaisten kanssa.

Jos vaatimustenmukaisuuden ja sääntelykehyksen vaatimusten täyttämiseen tarvittavista henkilöistä on pulaa, on otettava huomioon riski, että roolit jäävät täyttämättä. Jos joku ei ota vastuuta ylemmällä tasolla, onko olemassa vaara, että se jää tekemättä?

Honan sanoo, että ongelmana on, että CISO:t hylkäävät viitekehykset, standardit ja jopa oikeudelliset velvoitteet tarpeettomana yleiskuluna, joka ei "tehdä niistä enää turvallisempia" tai edes mainitse väitettä, että "käytännöt eivät estä hakkeria".

"Mitä heiltä usein puuttuu, on se, että laeissa ja kehyksissä hahmotellut vaatimukset on tarkoitettu tarjoamaan jäsenneltyä lähestymistapaa turvallisuuteen ja varmistamaan yritysten sitoutuminen parempaan tietoturvaan", hän sanoo. "Hyvä CISO ymmärtää, kuinka puitteet, standardit ja lakisääteiset velvoitteet voivat auttaa vähentämään riskejä yritykselle ja samalla hankkimaan heille resursseja, joita he tarvitsevat turvatakseen organisaatiot paremmin."

Vaihtoehtoja oppia, mitä tarvitaan vaatimustenmukaisuuden mahdollistamiseksi organisaatiossa, on olemassa, mutta ennaltaehkäisevät tekijät ovat kustannuksia ja aikaa eikä täydellistä taitojen puutetta. "En usko, että taidoista puuttuu, mutta käytettävissä olevan aivovoiman suhde tehtävän kysyntään on varmasti hallitsematon." Fielding on samaa mieltä sanoessaan, että ihmisillä on kaikki, mitä he tarvitsevat noudattaakseen, paitsi aikaa ja energiaa soveltaa niitä tehokkaasti.