Rollen til Chief Information Security Officer (CISO) har aldri vært så utfordrende og avgjørende som den er i dag. Med den eksponentielle økningen i cybertrusler, som kan forårsake uopprettelig skade på organisasjoners omdømme, tillit og eiendeler, må CISO-er være forberedt på å møte et stadig mer komplekst og dynamisk landskap.
I 2024 registrerte Brasil en betydelig økning i cyberangrep. I første kvartal var det en vekst på 38 % sammenlignet med samme periode i 2023, med brasilianske organisasjoner som opplevde et gjennomsnitt på 1770 angrep per uke. I andre kvartal var økningen enda mer uttalt, og nådde 67 % sammenlignet med året før, med et gjennomsnitt på 2754 ukentlige angrep per organisasjon. I tredje kvartal nådde det gjennomsnittlige ukentlige antallet angrep per organisasjon i Brasil 2766, noe som representerer en økning på 95 % sammenlignet med samme periode i 2023. De mest målrettede sektorene var finans, helsevesen, offentlig sektor og energi, med hovedtypene angrep som ransomware, phishing, DDoS og APT-er (Advanced Persistent Threats).
IT-sjefer må tilpasse seg denne nye æraen med enestående cyberangrep – ofte utføre flere roller samtidig, og i Brasils tilfelle håndtere et scenario med kostnadskontroll og investeringer i cybersikkerhet.
Rollen til den moderne CISO-en.
Rollen som CISO er relativt ny. I motsetning til økonomidirektører eller administrerende direktører, eksisterte ikke funksjonen som Chief Information Security Officer offisielt før midten av 1990-tallet.
Videre har rollen til CISO vært i stadig endring innenfor organisasjoner. Ifølge Splunks CISO-rapport fra 2023 mente 90 % av respondentene at rollen hadde blitt en «helt annen jobb» enn da de startet.
Mens CISO-en i utgangspunktet var ansvarlig for å utvikle retningslinjer, sikkerhetsstyring og implementere mer rudimentære sikkerhetskontroller, noe som førte til at denne profesjonelle har et mye mer teknisk enn ledelsesmessig perspektiv, har listen over ansvarsområder i dag vokst betydelig. Et eksempel er den politiske funksjonen i rollen: CISO-er må ha et nært samarbeid med administrerende direktør, finansdirektøren og den juridiske avdelingen i organisasjonen. Sikkerhetsbudsjettet er viktig for å møte de utallige truslene som finnes i dag.
Og dette er fortsatt et problem for selskaper over hele verden, spesielt i Brasil. Kompleksiteten i scenariet presenterer på den ene siden et land med en av de høyeste angrepsratene i verden. På den andre siden betyr økonomisk usikkerhet og dollarkurssvingninger (siden de aller fleste løsningene selges i utenlandsk valuta) at IT-sjefer må balansere ressursene som er tilgjengelige for å sikre selskapets beskyttelse.
Gode kommunikatører
I motsetning til det stereotype bildet av den teknologikyndige IT-sjefen tidligere, må dagens IT-sjef ta på seg en lederrolle og være en god kommunikator for å lede etableringen av en solid cybersikkerhetskultur i bedriften.
Et annet viktig poeng er at IT-sjefer ikke kan handle alene i håndteringen av informasjonssikkerhet. De trenger støtte og samarbeid fra det eksterne økosystemet, som inkluderer leverandører, kunder, partnere, reguleringsorganer, bransjeforeninger og sikkerhetsmiljøer. Disse aktørene kan bidra med informasjon, ressurser, løsninger og beste praksis som hjelper ledere med å forbedre og styrke sikkerheten i organisasjonen sin. Derfor er kommunikasjon og relasjonsbygging med markedet også grunnleggende.
Sikkerhet må starte fra et helhetlig perspektiv.
Det er ikke nok å ha isolerte og reaktive sikkerhetsverktøy og -prosesser. IT-sjefer trenger et helhetlig og integrert syn på sikkerhet, som omfatter alt fra ansattkultur og -bevissthet til styring og samsvar med forretningsmål.
Sikkerhet bør sees på som et tverrgående og essensielt element for organisasjonens kontinuitet og vekst, og ikke som en kostnad eller en barriere. For å oppnå dette må IT-sjefer involvere andre områder og ledere i selskapet, demonstrere verdien og avkastningen på investeringen i sikkerhet, og etablere klare og målbare retningslinjer og indikatorer.
En følelse av at det haster er viktig for å forutse trusler.
Cybertrusler er i stadig utvikling og blir mer sofistikerte, og kan ramme enhver organisasjon, uavhengig av størrelse eller sektor. Derfor er det viktig å alltid være oppmerksom på og oppdatert på markedstrender og sårbarheter, og å investere i løsninger og metoder som lar deg forutse trusler og risikoer.
En måte å gjøre dette på er å ta i bruk en sikkerhetsbasert tilnærming, som inkluderer sikkerhet fra idé til levering av organisasjonens produkter og tjenester. En annen måte er å gjennomføre periodiske tester og simuleringer som vurderer effektiviteten og robustheten til sikkerhetssystemer og -prosesser, og identifiserer muligheter for forbedring og tiltaksreduksjon.
Selv om rollen til en IT-sjef fortsatt er i endring, er denne profesjonelle nøkkelen til å beskytte og innovere organisasjoner i den digitale tidsalderen. IT-sjefer må være forberedt på å håndtere et enestående nivå av trusler, som krever proaktiv, strategisk og samarbeidende informasjonssikkerhetshåndtering.
Til slutt må IT-sjefer huske på at informasjonssikkerhet ikke bare er et teknisk spørsmål, men også en faktor for konkurranseevne og verdi for kundene. De som klarer å samkjøre sikkerhet med forretningsmål og interessentenes forventninger, og som vet hvordan de skal kommunisere fordelene og utfordringene med sikkerhet tydelig og overbevisende, vil være i stand til å bygge en sterk og bærekraftig sikkerhetskultur i organisasjonen, og bidra til dens suksess og vekst i det digitale landskapet.
