Hlutverk upplýsingaöryggisstjóra (CISO) hefur aldrei verið jafn krefjandi og mikilvægt og það er í dag. Með vaxandi fjölgun netógna, sem geta valdið óbætanlegu tjóni á orðspori, trausti og eignum fyrirtækja, þurfa upplýsingaöryggisstjórar að vera viðbúnir að takast á við sífellt flóknara og breytilegra umhverfi.
Árið 2024 jókst netárásum verulega í Brasilíu. Á fyrsta ársfjórðungi var 38% vöxtur samanborið við sama tímabil árið 2023, þar sem brasilísk fyrirtæki urðu að meðaltali fyrir 1.770 árásum á viku. Á öðrum ársfjórðungi var aukningin enn meiri og náði 67% samanborið við árið áður, með að meðaltali 2.754 vikulegar árásir á fyrirtæki. Á þriðja ársfjórðungi náði meðalfjöldi vikulegra árása á fyrirtæki í Brasilíu 2.766, sem er 95% aukning samanborið við sama tímabil árið 2023. Mest beittir geirar voru fjármála-, heilbrigðis-, ríkis- og orkugeirar, þar sem helstu gerðir árása voru ransomware, phishing, DDoS og APT (Advanced Persistent Threats).
Netöryggisstjórar verða að aðlagast þessum nýja tímum fordæmalausra netárása – oft gegna þær mörgum hlutverkum samtímis og, í tilfelli Brasilíu, stjórna aðstæðum þar sem kostnaður er haldið niðri og fjárfestingar eru nauðsynlegar í netöryggi.
Hlutverk nútíma CISO.
Starf upplýsingaöryggisstjóra er tiltölulega nýtt. Ólíkt fjármálastjórum eða forstjórum var starf upplýsingaöryggisstjóra ekki opinberlega til fyrr en um miðjan tíunda áratuginn.
Þar að auki hefur hlutverk upplýsingastjóra (CISO) verið stöðugt að breytast innan fyrirtækja. Samkvæmt skýrslu Splunk frá árinu 2023 um upplýsingastjóra töldu 90% svarenda að hlutverkið hefði orðið „gjörólíkt starf“ frá því þegar þeir byrjuðu.
Þó að upphaflega hafi upplýsingaöryggisstjóri borið ábyrgð á þróun stefnu, öryggisstjórnun og innleiðingu grunnari öryggisráðstafana, sem leiddi til þess að þessi fagmaður hefur mun meira tæknilegt en stjórnunarlegt sjónarhorn, þá hefur ábyrgðarlistinn í dag stækkað verulega. Eitt dæmi er pólitískt hlutverk hlutverksins: upplýsingaöryggisstjórar þurfa að hafa náið samstarf við forstjóra, fjármálastjóra og lögfræðideild fyrirtækisins. Öryggisfjárhagsáætlun er nauðsynleg til að takast á við þær fjölmörgu ógnir sem eru til staðar í dag.
Og þetta er enn vandamál fyrir fyrirtæki um allan heim, sérstaklega í Brasilíu. Flækjustig atburðarásarinnar sýnir annars vegar land með eina hæstu tíðni árása í heiminum. Hins vegar þýða efnahagsleg óvissa og sveiflur í gengi Bandaríkjadals (þar sem langflestar lausnir eru seldar í erlendum gjaldmiðli) að upplýsingaöryggisstjórar verða að vega og meta þær auðlindir sem eru tiltækar til að tryggja vernd fyrirtækisins.
Góðir samskiptamenn
Ólíkt staðalímyndinni af tæknivæddum upplýsingastjóra fortíðar, þarf upplýsingastjóri nútímans að taka að sér forystuhlutverk og vera góður í samskiptum til að leiða sköpun traustra netöryggismenningar innan fyrirtækisins.
Annað mikilvægt atriði er að upplýsingaöryggisstjórar geta ekki starfað einir við stjórnun upplýsingaöryggis. Þeir þurfa stuðning og samvinnu utanaðkomandi vistkerfis, sem inniheldur birgja, viðskiptavini, samstarfsaðila, eftirlitsstofnanir, iðnaðarsamtök og öryggissamfélag. Þessir aðilar geta lagt fram upplýsingar, úrræði, lausnir og bestu starfsvenjur sem hjálpa stjórnendum að bæta og styrkja öryggi fyrirtækisins. Þess vegna eru samskipti og tengslamyndun við markaðinn einnig grundvallaratriði.
Öryggi þarf að byrja frá heildrænu sjónarhorni.
Það er ekki nóg að hafa einangruð og viðbragðshæf öryggisverkfæri og ferla. Öryggisstjórar þurfa heildræna og samþætta sýn á öryggi, sem nær yfir allt frá starfsmannamenningu og vitund til stjórnarhátta og samræmingar við viðskiptamarkmið.
Öryggi ætti að líta á sem þverfaglegan og nauðsynlegan þátt fyrir samfellu og vöxt fyrirtækisins, en ekki sem kostnað eða hindrun. Til að ná þessu verða upplýsingaöryggisstjórar að fá aðra svið og leiðtoga innan fyrirtækisins til að taka þátt, sýna fram á gildi og ávöxtun fjárfestingar í öryggi og setja skýrar og mælanlegar stefnur og vísbendingar.
Nauðsynlegt er að hafa skynsamlega akstursupplifun til að geta séð fyrir ógnir.
Netógnir eru í stöðugri þróun og verða flóknari og geta haft áhrif á hvaða fyrirtæki sem er, óháð stærð eða geira. Þess vegna er mikilvægt að vera alltaf meðvitaður um og uppfærður um markaðsþróun og veikleika og fjárfesta í lausnum og aðferðafræði sem gerir þér kleift að sjá fyrir ógnir og áhættu.
Ein leið til að gera þetta er að tileinka sér öryggisaðferð sem byggir á hönnun, sem felur í sér öryggi frá hugmynd til afhendingar á vörum og þjónustu fyrirtækisins. Önnur leið er að framkvæma reglulegar prófanir og hermir sem meta skilvirkni og seiglu öryggiskerfa og ferla og greina tækifæri til úrbóta og mildunar.
Þó að hlutverk upplýsingaöryggisstjóra sé enn að breytast, þá er þessi fagmaður lykillinn að því að vernda og skapa nýjungar í fyrirtækjum á stafrænni öld. Upplýsingaröryggisstjórar þurfa að vera viðbúnir að takast á við fordæmalaust magn ógnana sem krefjast fyrirbyggjandi, stefnumótandi og samvinnuþýðrar upplýsingaöryggisstjórnunar.
Að lokum verða upplýsingastjórar að hafa í huga að upplýsingaöryggi er ekki bara tæknilegt mál, heldur einnig þáttur í samkeppni og verðmæti fyrir viðskiptavini. Þeir sem tekst að samræma öryggi við viðskiptamarkmið og væntingar hagsmunaaðila, og vita hvernig á að miðla ávinningi og áskorunum öryggis á skýran og sannfærandi hátt, munu geta byggt upp sterka og sjálfbæra öryggismenningu innan fyrirtækisins og lagt sitt af mörkum til velgengni þess og vaxtar í stafrænu landslagi.
