CISO Compliance Skills Dilemma
Er der en generel mangel på folk med de nødvendige færdigheder til at træde ind i rollen som CISO? Med teknologer, der ikke kan engagere sig i bestyrelses- og ledelsestyper, som ikke bliver taget seriøst af teknologerne? Hvad med de færdigheder, der har behov for overholdelse og regulering? Er de også en mangelvare? Dan Raywood vurderer problemet.
Spørgsmålet om kvalifikationskløften har længe været diskuteret, især med relevans for dem, der er egnede til at påtage sig CISO's ansvar.
Ud over tilliden til at tale og rapportere til bestyrelsen, er der overvejelser om, hvorvidt CISO skal være teknisk kyndig og være opmærksom på forsvarets virkemåde og konfigurationer, samt at de kan udbrede sikkerhedsbevidsthed og styre. risiko i hele organisationen.
Hvis det lyder som meget at sidde på en persons tallerken, så overvej compliance-elementet. Ja, Governance, Risk and Compliance (GRC) er hjørnestenene i en virksomheds sikkerhedsplan, men hvor meget kommer compliance med i betragtning af CISO's kompetencer, og er der en ny mangel på kompetencer på compliance-rammer og regler for den fremtidige CISO?
In forskning Jeg dirigerede for Infosecurity Magazine i 2019, jeg engagerede mig med studerende, personer på praktikophold og dem, der starter deres karriere inden for cybersikkerhed. I det tilfælde spurgte jeg dem, vi adspurgte, om de vidste hvad GDPR, PCI DSS og PSD2 var, og hvordan de adskilte sig. Vi modtog 54 svar, hvoraf 35 var positive og 19 var negative.
Disse særlige regler har haft stor opmærksomhed, og begrebet GDPR burde ikke have undsluppet den almindelige person på gaden, men set fra et sikkerhedsledelsesperspektiv, er det indlysende, hvad der skal gøres for at udfylde dette hul, og er der et videnshul om opfyldelse af compliance-behov?
Brian Honan, administrerende direktør for BH Consulting, mener, at der er mangel på erfarne folk til rådighed som CISO'er. Med presset for organisationer for at demonstrere, at de tager "sikkerhed alvorligt", bliver mange mennesker udnævnt til CISO-rollen, som måske ikke er egnede til det.
"Mange uerfarne CISO'er har en tendens til at fokusere på de tekniske aspekter af deres funktion, da det ofte er der, de føler sig bedst tilpas; dog har de måske ikke erfaring med cyberrisikostyring, politikudvikling og implementering eller udvikling af et effektivt bevidstgørelsesprogram,” siger han.
Et andet problem, som CISO'er ofte kæmper med, er at fokusere compliance-programmet på kun sikkerheden eller it-funktionen i en organisation, hævder Honan, da "i mange tilfælde gælder et compliance-program for hele organisationen og ikke kun disse funktioner."
At forstå og implementere compliance er mere end blot at passe det ind i dit sikkerhedsteam og dine forsvarslag, men også i den bredere organisation.
"Det andet problem, jeg ofte ser med lovmæssige overholdelseskrav såsom GDPR eller den britiske databeskyttelseslov, er, at mange CISO'er kun fokuserer på sikkerhedselementet i disse regler, der fører til, at organisationen ikke er fuldt ud compliant," siger han.
Rowenna Fielding, direktør for Miss IG Geek Ltd, siger fra hendes engagementer med kunder og andre i sikkerhedsbranchen: "Jeg kan helt klart sige, at der er betydelige huller vedrørende GDPR". Især siger hun, "alarmerende få sikkerhedsfolk har en robust forståelse af, hvad 'personlige data' faktisk betyder (de fleste forveksler det med PII)" i en indsats, der "underminerer enhver GDPR-overholdelsesaktivitet, de er involveret i, ved at sætte omfanget for snævert fra starten.”
På spørgsmålet om, hvorfor deres arbejdsgivere ikke vil investere i effektiv, meningsfuld uddannelse for at opfylde overholdelseskravene, siger Fielding, at det ofte opfattes som at det koster for meget, "og at have fritiden og midlerne til at søge uddannelse på individuel basis er en luksus."
Hun siger, at en udfordring er, at der ofte er for meget produktmarketing, der lover forsikringer om at opnå overholdelse, da "compliance folk søger desperat efter 'løsninger' (inklusive outsourcing), som de håber vil aflaste noget af den enorme kognitive belastning af jobbet, men de ' løsningerne i sig selv kræver stadig en masse menneskelig indsats for at opsætte, overvåge, kontrollere, tilpasse og vedligeholde deres funktioner – oven i alle de nye risici, som løsningerne selv introducerer.”
Owanate Bestman er grundlæggeren af cybersikkerheds-bemandingsressourcefirmaet Bestman Solutions, og spurgte, om han føler, at der er mangel på kvalifikationer på dette område, siger han, at det ikke er det, da der ofte er for mange ansættelsesfirmaer, der leder efter enhjørninger til at smække CISO-titlen på”, når virksomheden virkelig leder efter nogen til at lave GRC og arbejde med regulatorer.
Hvis der er mangel på folk, der er nødvendige for at opfylde kravene til compliance og regulatoriske rammer, skal der tages hensyn til risikoen for, at rollerne ikke bliver besat. Hvis nogen ikke tager ansvar på et højtstående niveau, er der fare for, at det bliver ugjort?
Honan siger, at der er et problem med CISO'er, der afviser rammer, standarder og endda juridiske forpligtelser som en unødvendig overhead, der ikke vil "gøre dem mere sikre" eller endda citere argumentet om, at "politikker ikke vil stoppe en hacker".
"Det, de ofte mangler, er, at kravene i love og rammer er til for at give en struktureret tilgang til sikkerhed og for at sikre virksomhedens engagement i bedre sikkerhed," siger han. "En god CISO vil forstå, hvordan rammer, standarder og juridiske forpligtelser kan hjælpe med at reducere risikoen for virksomheden, samtidig med at de får de ressourcer, de har brug for for at sikre organisationerne bedre."
Mulighederne for at lære, hvad der er nødvendigt for at muliggøre compliance i en organisation, er derude, men de forebyggende elementer er omkostninger og tid snarere end en fuldstændig mangel på færdigheder. "Jeg tror ikke, der er mangel på færdigheder derude, men der er bestemt et uoverskueligt forhold mellem tilgængelig hjernekraft og opgavebehov." Fielding er enig og siger, at folk har alt, hvad de har brug for til overholdelse, undtagen tid og energi til at anvende dem effektivt.
