Jak dyrektorzy ds. bezpieczeństwa informacji (CISO) mogą zwiększyć swój wkład w zarządzaniu przedsiębiorstwem?
Firmy każdego dnia balansują między innowacyjnością a niezawodnością, inwestycjami a zyskiem, szybkością a bezpieczeństwem. Każdy lider biorący udział w zarządzaniu firmą przyczynia się do tego, jak decyzje są rozpatrywane i podejmowane. Tradycyjnie oczekuje się, że CISO będą działać na jednym końcu tego łańcuszka jako główny obrońca biznesu. Jednak przez ostatnią dekadę dyrektorzy ds. bezpieczeństwa informacji (CISO) stopniowo dostosowywali swoje role, ponieważ biznes stawał się coraz bardziej zdigitalizowany i oparty na danych. CISO nie są już ograniczeni do funkcji wsparcia zaplecza biurowego, ale zaczęli zajmować swoje miejsce w szerszych dyskusjach biznesowych i podejmowaniu decyzji. To pokazuje także, że nowoczesne rozwiązania z zakresu cyberbezpieczeństwa mocno wspierają rozwój biznesu- analizuje James Robinson, CISO, Netskope
Ze specjalnego raportu Netskope Bringing Balance wynika, że współcześni CISO wyszli spod skrzydeł szerszego zespołu wykonawczego i są gotowi przyczynić się do realizacji celów biznesowych, umożliwiając firmie wzrost oraz wdrażanie innowacji. 59% dyrektorów ds. bezpieczeństwa informacji postrzega siebie jako osoby wspierające biznes, a 67% stwierdziło, że chce odgrywać jeszcze bardziej aktywną rolę w przyszłości. Badanie wykazało jednak również, że dwóch na trzech CISO (65%) uważa, że inni członkowie kierownictwa nadal nie dostrzegają, że rola CISO umożliwia wdrażanie innowacji.
Jak zatem CISO mogą zmienić nastawienie kierownictwa i pomóc szerszej organizacji postrzegać ich jako prawdziwych partnerów biznesowych?
Powiązanie cyberbezpieczeństwa z celami biznesowymi
Dane są siłą napędową współczesnego biznesu, co oznacza, że rola CISO jest integralną częścią zapewnienia funkcjonowania firmy. Ale jak pokazać wartość, gdy nie jest się bezpośrednio powiązanym z generowaniem przychodów? Odpowiedź staje się oczywista, gdy odwróci się pytanie: jak można generować stałe przychody, jeśli firma jest ograniczona przez niekontrolowane ryzyko wynikające właśnie chociażby z przetwarzania danych poprzez aplikacje w chmurze?
CISO muszą budować relacje ze wszystkimi działami w całej organizacji, aby zrozumieć priorytety każdego z nich i ustalić, w jaki sposób polityki bezpieczeństwa mogą pomóc w ich realizacji. Chodzi tu oczywiście o zarządzanie ryzykiem, ale także o umożliwienie działania firmy i jej pracowników. Tworząc powiązania między poszczególnymi działania w przedsiębiorstwie, CISO mogą odejść od całkowicie defensywnej roli obrońcy i stać się bardziej postępowi oraz proaktywni.
Budowanie zaufania do strategii, a nie taktyki
Zerowe zaufanie czyli Zero Trust zakłada, że każdy użytkownik i urządzenie stanowi potencjalne zagrożenie, a sieć została już naruszona. Oznacza to, że dostęp do zasobów i danych jest przyznawany na zasadzie “niezbędnej wiedzy“, co oznacza, że przyznawany jest tylko minimalny poziom dostępu wymagany do wykonania zadania
Rozmawiając z kierownictwem lub zarządem na temat celów biznesowych, CISO zbyt często prowadzą taktyczne, a nie strategiczne rozmowy. Zero trust to najnowszy trend, który zyskał popularność wśród nietechnicznych interesariuszy wyższego szczebla. 58% CISO twierdzi, że ich zespoły wykonawcze i zarządy pytają o zerowe zaufanie, gdy chcą zaangażować się w cyberbezpieczeństwo organizacji. To świetny punkt wyjścia: większość CISO (55%) uważa, że podejście oparte na zerowym zaufaniu pozwoli im lepiej zrównoważyć w firmie sprzeczne priorytety oraz umożliwi ich organizacji osiągnięcie kluczowych celów, takich jak szybsze działanie (59%) i zachęcanie do innowacji (58%). Aby wykorzystać korzyści płynące z zerowego zaufania i podnieść swoją pozycję wśród kolegów z zarządu, CISO będą musieli upewnić się, że nie zostaną wciągnięci w rozmowy wyłącznie na temat technologii i praktyk. Należy skupić się na możliwościach biznesowych i ryzyku biznesowym, a nie na konkretnych narzędziach.
Paradoks zerowego zaufania
U podstaw zarówno roli CISO, jak i modelu zero trust leży nieodłączna sprzeczność. Często wprowadzenie polityki bezpieczeństwa polega na nakładaniu większej liczby kontroli podczas transferu danych więc stwierdzenie, że zerowe zaufanie może zwiększyć elastyczność oraz szybkość organizacji, może wydawać się sprzeczne z rozwojem firmy. W rzeczywistości jednak skuteczny, nowoczesny CISO pozwala swoim współpracownikom w ramach przywództwa biznesowego być odważniejszym, podejmować ryzyko i wprowadzać innowacje, mając pewność, że ich najcenniejszy zasób – dane – jest odpowiednio chroniony. A nowe rozwiązania także z zakresu cyberbezpieczeństwa umożliwiają wprowadzanie innowacji i przyśpieszają rozwój organizacji.
Raport Netskope jasno pokazuje, że rola CISO zmieniła się zasadniczo, ale proces zmiany postrzegania na poziomie kierownictwa niekoniecznie. CISO, którzy są w stanie zdefiniować i zakomunikować rozwiązania, które mogą pomóc w pozyskiwaniu nowych przychodów, zwiększaniu wydajności i spełnianiu wymogów regulacyjnych, będą tymi, którzy zostaną uznani za cennych współpracowników na najwyższych szczeblach.