Uloga glavnog službenika za informatičku sigurnost (CISO) nikada nije bila toliko izazovna i ključna kao danas. Sa povećanjem eksponencijalnih sajber pretnji, koji mogu izazvati nepopravljivu štetu reputaciji, na poverenje i imovinu organizacija, CISOs treba da budu spremni da se suoče sa sve složenijim i dinamičnijim scenarijem
U 2024, Brazil je zabeležio značajan porast u sajber napadima. U prvom tromesečju, došlo je do povećanja od 38% u odnosu na isti period 2023. godine, sa organizacijama u Brazilu koje pate, у просеку, 1.770 nedelja napada. U drugom kvartalu, povećanje je bilo još izraženije, dostizanje 67% u poređenju sa prethodnom godinom, sa proseka od 2.754 napada nedeljno po organizaciji. U trećem kvartalu, prosečan nedeljni broj napada po organizaciji u Brazilu dostigao je 2.766, predstavljajući rast od 95% u odnosu na isti period 2023. godine. Najviše su bili ciljani sektori finansija, zdravlje, vlada i energija, s obzirom na to da su glavni tipovi napada bili ransomware, fishing, DDoS i APT-ovi (Napredne Perzistentne Pretnje)
CISOs moraju da se prilagode ovoj novoj eri bez presedana kibernetičkih napada – često obavljajući više funkcija u isto vreme i, u slučaju Brazila, upravljanje scenarijom smanjenja troškova i ulaganja u kibernetičku sigurnost
Uloga modernog CISO-a
Pozicija CISO je relativno nova. Za razliku od finansijskih direktora ili izvršnih direktora, funkcija direktora bezbednosti informacija zvanično nije postojala do sredine devedesetih godina prošlog veka
Pored toga, uloga CISO-a se stalno menja u organizacijama. Prema izveštaja CISO-a za 2023. godinu kompanije Splunk, 90% ispitanika verovalo je da je funkcija postala "potpuno drugačiji posao" u odnosu na vreme kada su počeli
Ako je na početku CISO bio odgovoran za izradu politika, upravljanje bezbednošću i implementacija osnovnijih bezbednosnih kontrola, šta je dovelo do toga da ovaj profesionalac ima mnogo tehničkiji nego menadžerski pristup, danas je lista zadataka povećana, i veoma. Jedna od njih, на пример, to je politička funkcija pozicije: CISO-ovi treba da imaju bliske radne odnose sa CEO-om, CFO i pravna oblast organizacije. Budžet sektora bezbednosti je osnovni uslov za suočavanje sa mnoštvom pretnji koje postoje danas
I to je to, još, to je problem za kompanije širom sveta, posebno u Brazilu. Složenost scenarija donosi, s jedne strane, zemlja sa jednim od najvećih indeksa napada na svetu. Sa druge strane, ekonomske neizvesnosti i fluktuacija dolara (s obzirom na to da se velika većina rešenja prodaje u stranoj valuti) čine da CISOs moraju da se balansiraju sa dostupnim resursima kako bi obezbedili zaštitu kompanije
Dobri komunikatori
Suprotno slici koja je veoma zasnovana na stereotipu tehničara iz prošlosti, danas CISO treba da ima lidersku ulogu i da bude dobar komunikator kako bi vodio stvaranje čvrste kulture sajber bezbednosti unutar kompanije
Još jedna važna tačka je da CISO-vi ne mogu delovati sami u upravljanju bezbednošću informacija. Oni treba da se oslanjaju na podršku i saradnju spoljnog ekosistema, koji uključuje dobavljače, klijenti, partneri, regulatorni organi, entiteti klase i zajednice bezbednosti. Ovi glumci mogu doprineti informacijama, resursi, rešenja i dobre prakse koje pomažu izvršnom da unapredi i ojača bezbednost svoje organizacije. Zato, komunikacija i odnos sa tržištem takođe su ključni
Bezbednost mora da polazi iz holističkog pogleda
Nije dovoljno imati izolovane i reaktivne alate i procese bezbednosti. CISOs treba da imaju holistički i integrisani pogled na bezbednost, koja obuhvata kulturu i svest zaposlenih, do upravljanja i usklađivanja sa poslovnim ciljevima
Bezbednost treba posmatrati kao transverzalni i suštinski element za kontinuitet i rast organizacije, i ne kao trošak ili prepreka. Za to, CISOs treba da uključe ostale sektore i vođstva kompanije, pokazujući vrednost i povratak sigurnosti, i uspostavljajući jasne i merljive politike i indikatore
Senzacija hitnosti je suštinska za anticipaciju pretnjama
Kibernetske pretnje su u stalnoj evoluciji i sofisticiranosti, i mogu uticati na svaku organizaciju, nezavisno od veličine ili sektora. Zato, važno je uvek biti pažljiv i ažuriran o trendovima i ranjivostima tržišta, i ulagati u rešenja i metodologije koje omogućavaju da se unapred reaguju na pretnje i rizike
Jedan od načina da se to postigne je usvajanje pristupa bezbednosti kroz dizajn, koji uključuje bezbednost od koncepta do isporuke proizvoda i usluga organizacije. Drugi način je sprovođenje periodičnih testova i simulacija koji procenjuju efikasnost i otpornost sistema i bezbednosnih procesa, i identifikuju prilike za poboljšanje i ublažavanje
Иако улога ЦИСО-а још увек пролази кроз трансформацију, ovaj profesionalac je ključni faktor za zaštitu i inovaciju organizacija u digitalnoj eri. CISO-i moraju biti spremni da se suoče sa bezprecedentnim nivoom pretnji, koje zahtevaju proaktivan menadžment bezbednosti informacija, strateška i kolaborativna
На крају, CISOs treba da imaju na umu da sigurnost informacija nije samo tehničko pitanje, ali i faktor konkurentnosti i vrednosti za klijente. Oni koji uspeju da usklade bezbednost sa poslovnim ciljevima i očekivanjima zainteresovanih strana, i koji znaju jasno i uverljivo komunicirati prednosti i izazove bezbednosti, biće sposobni da izgrade jaku i održivu kulturu bezbednosti u organizaciji, i da doprinositi vašem uspehu i rastu na digitalnoj sceni
