Rolul Șefului Securității Informațiilor (CISO) nu a fost niciodată atât de dificil și crucial ca în prezent. Având în vedere creșterea exponențială a amenințărilor cibernetice, care pot provoca daune ireparabile reputației, încrederii și activelor organizațiilor, CISO-urile trebuie să fie pregătite să facă față unui peisaj din ce în ce mai complex și dinamic.
În 2024, Brazilia a înregistrat o creștere semnificativă a atacurilor cibernetice. În primul trimestru, s-a înregistrat o creștere de 38% față de aceeași perioadă din 2023, organizațiile braziliene suferind o medie de 1.770 de atacuri pe săptămână. În al doilea trimestru, creșterea a fost și mai pronunțată, ajungând la 67% față de anul precedent, cu o medie de 2.754 de atacuri săptămânale per organizație. În al treilea trimestru, numărul mediu săptămânal de atacuri per organizație în Brazilia a ajuns la 2.766, reprezentând o creștere de 95% față de aceeași perioadă din 2023. Sectoarele cele mai vizate au fost finanțele, asistența medicală, guvernul și energia, principalele tipuri de atacuri fiind ransomware, phishing, DDoS și APT (Amenințări Persistente Avansate).
CISO-urile trebuie să se adapteze la această nouă eră de atacuri cibernetice fără precedent – adesea îndeplinind mai multe roluri simultan și, în cazul Braziliei, gestionând un scenariu de limitare a costurilor și investiții în securitatea cibernetică.
Rolul CISO-ului modern.
Rolul de CISO este relativ nou. Spre deosebire de directorii financiari sau directorii generali, funcția de director pentru securitatea informațiilor nu a existat oficial până la mijlocul anilor 1990.
În plus, rolul CISO-ului s-a schimbat constant în cadrul organizațiilor. Conform raportului CISO din 2023 al Splunk, 90% dintre respondenți au considerat că rolul a devenit o „slujbă complet diferită” față de momentul în care au început.
Deși inițial, CISO-ul era responsabil pentru dezvoltarea politicilor, guvernanța securității și implementarea unor controale de securitate mai rudimentare, ceea ce a determinat acest profesionist să aibă o perspectivă mult mai tehnică decât managerială, astăzi lista responsabilităților a crescut semnificativ. Un exemplu este funcția politică a rolului: CISO-urile trebuie să aibă relații de lucru strânse cu CEO-ul, CFO-ul și departamentul juridic al organizației. Bugetul de securitate este esențial pentru a face față multitudinii de amenințări care există astăzi.
Și aceasta rămâne o problemă pentru companiile din întreaga lume, în special în Brazilia. Complexitatea scenariului prezintă, pe de o parte, o țară cu una dintre cele mai mari rate de atacuri din lume. Pe de altă parte, incertitudinile economice și fluctuația dolarului (întrucât marea majoritate a soluțiilor sunt vândute în valută străină) înseamnă că CISO-urile trebuie să echilibreze resursele disponibile pentru a asigura protecția companiei.
Buni comunicatori
Spre deosebire de imaginea stereotipă din trecut a CISO-ului priceput la tehnologie, CISO-ul de astăzi trebuie să își asume un rol de lider și să fie un bun comunicator pentru a conduce crearea unei culturi solide de securitate cibernetică în cadrul companiei.
Un alt punct important este că ofițerii de securitate a informațiilor (CISO) nu pot acționa singuri în gestionarea securității informațiilor. Aceștia au nevoie de sprijinul și colaborarea ecosistemului extern, care include furnizori, clienți, parteneri, organisme de reglementare, asociații industriale și comunități de securitate. Acești actori pot contribui cu informații, resurse, soluții și cele mai bune practici care ajută executivul să îmbunătățească și să consolideze securitatea organizației lor. Prin urmare, comunicarea și construirea relațiilor cu piața sunt, de asemenea, fundamentale.
Securitatea trebuie să pornească dintr-o perspectivă holistică.
Nu este suficient să existe instrumente și procese de securitate izolate și reactive. CISO-urile au nevoie de o perspectivă holistică și integrată asupra securității, care să cuprindă totul, de la cultura și conștientizarea angajaților până la guvernanță și alinierea cu obiectivele afacerii.
Securitatea ar trebui văzută ca un element transversal și esențial pentru continuitatea și creșterea organizației, și nu ca un cost sau o barieră. Pentru a realiza acest lucru, CISO-urile trebuie să implice alte domenii și conducerea din cadrul companiei, demonstrând valoarea și rentabilitatea investiției în securitate și stabilind politici și indicatori clari și măsurabili.
Sentimentul de urgență este esențial pentru a anticipa amenințările.
Amenințările cibernetice sunt în continuă evoluție și devin din ce în ce mai sofisticate, putând afecta orice organizație, indiferent de dimensiune sau sector. Prin urmare, este important să fii mereu conștient și la curent cu tendințele și vulnerabilitățile pieței și să investești în soluții și metodologii care îți permit să anticipezi amenințările și riscurile.
O modalitate de a realiza acest lucru este adoptarea unei abordări de tip securitate prin proiectare, care încorporează securitatea de la concepție până la livrarea produselor și serviciilor organizației. O altă modalitate este efectuarea de teste și simulări periodice care evaluează eficacitatea și reziliența sistemelor și proceselor de securitate și identifică oportunități de îmbunătățire și atenuare.
Chiar dacă rolul unui CISO este încă în transformare, acest profesionist este esențial pentru protejarea și inovarea organizațiilor în era digitală. CISO-urile trebuie să fie pregătite să facă față unui nivel fără precedent de amenințări, care necesită o gestionare proactivă, strategică și colaborativă a securității informațiilor.
În cele din urmă, CISO-urile trebuie să țină cont de faptul că securitatea informațiilor nu este doar o problemă tehnică, ci și un factor de competitivitate și valoare pentru clienți. Cei care reușesc să alinieze securitatea cu obiectivele de afaceri și așteptările părților interesate și care știu să comunice clar și convingător beneficiile și provocările securității, vor putea construi o cultură de securitate puternică și sustenabilă în cadrul organizației și vor contribui la succesul și creșterea acesteia în peisajul digital.
