דילמת מיומנויות הציות של CISO

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

14 פבואר 2023

האם יש חוסר כללי באנשים עם הכישורים הנדרשים כדי להיכנס לתפקיד של CISO? עם אנשי טכנולוגיה שאינם יכולים לעסוק בדירקטוריון ובטיפוסי ההנהלה שאינם נלקחים ברצינות על ידי אנשי הטכנולוגיה? מה לגבי מיומנויות אלה הזקוקות לציות ורגולציה? האם גם הם במחסור? דן רייווד מעריך את הבעיה.

סוגיית פער המיומנויות נידונה זמן רב, במיוחד עם רלוונטיות לאלה המתאימים לקחת על עצמם את האחריות של ה-CISO.

כמו גם הביטחון לדבר ולדווח לדירקטוריון, יש שיקולים האם ה-CISO צריך להיות בקיא טכנית ולהיות מודע לפעולה ולתצורות של ההגנות, כמו גם להיות מסוגלים להפיץ מודעות אבטחה ולנהל. סיכון בכל הארגון.

אם זה נשמע כמו הרבה לשבת על הצלחת של אדם, שקול את אלמנט הציות. כן, ממשל, סיכונים ותאימות (GRC) הם אבני היסוד של תוכנית האבטחה של חברה, אבל עד כמה ציות מתחשב בכישורי ה-CISO, והאם יש מחסור חדש במיומנויות של מסגרות ותאימות ל-CISO העתידי?

In מחקר ניהלתי עבור מגזין Infosecurity בשנת 2019, עסקתי בסטודנטים, אנשים במקומות עבודה ואלה שמתחילים את הקריירה שלהם באבטחת סייבר. במקרה זה, שאלתי את אלה שסקרנו אם הם יודעים מה GDPR, PCI DSS ו-PSD2 היו וכיצד הם שונים. קיבלנו 54 תגובות, מתוכן 35 חיוביות ו-19 שליליות.

התקנות הספציפיות הללו זכו לתשומת לב רבה, והמושג של GDPR לא היה צריך לברוח מהאדם הממוצע ברחוב, אבל מנקודת מבט של מנהיגות ביטחונית, האם ברור מה צריך לעשות כדי למלא את הפער הזה, והאם יש פער ידע בעמידה בצרכי הציות?

בריאן הונאן, מנכ"ל BH Consulting, מאמין שקיים מחסור באנשים מנוסים הזמינים כ-CISOs. עם הלחץ על ארגונים להפגין שהם מתייחסים ל"ביטחון ברצינות", אנשים רבים מתמנים לתפקיד CISO שאולי לא מתאימים לכך.

"הרבה CISOs חסרי ניסיון נוטים להתמקד בהיבטים הטכניים של התפקוד שלהם מכיוון שלעתים קרובות הם מרגישים הכי נוח; עם זאת, ייתכן שאין להם ניסיון בניהול סיכוני סייבר, פיתוח ויישום מדיניות, או פיתוח תוכנית מודעות אפקטיבית", הוא אומר.

נושא נוסף ש-CISO מתמודדים איתו לעתים קרובות הוא מיקוד תוכנית התאימות רק באבטחה או בתפקוד ה-IT בתוך ארגון, טוען Honan, שכן "במקרים רבים, תוכנית תאימות חלה על כל הארגון ולא רק על הפונקציות הללו".

הבנה והטמעה של תאימות היא יותר מסתם התאמתה לצוות האבטחה ובשכבות ההגנה שלך, אלא גם לארגון הרחב יותר.

"הנושא הנוסף שאני רואה לעתים קרובות עם דרישות תאימות לרגולציה כמו GDPR או חוק הגנת הנתונים הבריטי הוא ש-CISOs רבים מתמקדים רק באלמנט האבטחה של התקנות האלה שמוביל לכך שהארגון לא עומד במלואו", הוא אומר.

רוונה פילדינג, מנהלת Miss IG Geek Ltd, אומרת מתוך התקשרויותיה עם לקוחות ואחרים בתעשיית האבטחה, "אני בהחלט יכולה לומר שיש פערים משמעותיים בנוגע ל-GDPR". בפרט, היא אומרת, "למעט אנשי אבטחה מדאיגים יש הבנה חזקה של המשמעות של 'נתונים אישיים' בעצם (רובם מבלבלים בינהם עם PII)" במאמץ ש"מערער כל פעילות תאימות ל-GDPR שהם מעורבים בה, על ידי קביעת ההיקף צר מדי מלכתחילה."

כשנשאל מדוע המעסיקים שלהם לא ישקיעו בהכשרה יעילה ומשמעותית כדי לעמוד בדרישות הציות, אומר פילדינג שזה נתפס לעתים קרובות כעלויות גבוהות מדי, "ושיש לך את הפנאי והכספים לחפש השכלה על בסיס אישי זה מותרות".

לדבריה, האתגר הוא שלעתים קרובות יש יותר מדי שיווק מוצרים המבטיח הבטחות על השגת תאימות, מכיוון ש"אנשי תאימות מגיעים נואשות ל'פתרונות' (כולל מיקור חוץ) שהם מקווים שישחררו חלק מהעומס הקוגניטיבי העצום של העבודה, אבל אלה ' הפתרונות עצמם עדיין דורשים מאמצים אנושיים רבים כדי להגדיר, לנטר, לבדוק, להתאים ולתחזק את הפונקציות שלהם - בנוסף לכל הסיכונים החדשים שהפתרונות עצמם מציגים".

Owanate Bestman הוא המייסד של חברת משאבי אבטחת הסייבר Bestman Solutions, ונשאל אם הוא מרגיש שיש מחסור במיומנויות בתחום זה, הוא אומר שאין, מכיוון שלעתים קרובות יש יותר מדי חברות שכירה "מחפשות חדי קרן כדי להטיח את התואר CISO על" כאשר באמת העסק מחפש מישהו שיעשה GRC ויעבוד עם רגולטורים.

אם יש מחסור באנשים הדרושים למילוי דרישות הציות והמסגרות הרגולטוריות, יש לקחת בחשבון את הסיכון שהתפקידים יישארו ללא מילוי. אם מישהו לא לוקח אחריות בדרג בכיר, האם יש סכנה שזה לא יבוצע?

הונאן אומר שיש בעיה של CISOs שפוסלים מסגרות, תקנים ואפילו חובות משפטיות כתקורה מיותרת שלא "תהפוך אותם לאבטחים יותר" או אפילו מצטטת את הטיעון ש"מדיניות לא תעצור האקר".

"מה שחסר להם לעתים קרובות הוא שהדרישות המתוארות בחוקים ובמסגרות קיימות כדי לספק גישה מובנית לאבטחה ולהבטיח מחויבות עסקית לאבטחה טובה יותר", הוא אומר. "CISO טוב יבין כיצד מסגרות, תקנים וחובות משפטיות יכולים לסייע בהפחתת הסיכון לעסק ובו בזמן להשיג להם משאבים הדרושים להם כדי לאבטח את הארגונים טוב יותר."

האפשרויות ללמוד את הדרוש כדי לאפשר תאימות בארגון קיימות בחוץ, אבל המרכיבים המונעים הם עלות וזמן ולא חוסר מוחלט של מיומנויות. "אני לא חושב שיש חוסר מיומנות שם בחוץ, אבל בהחלט יש יחס בלתי ניתן לניהול של כוח מוח זמין לביקוש למשימות." פילדינג מסכים ואומר שלאנשים יש כל מה שהם צריכים לעמידה בדרישות מלבד הזמן והאנרגיה ליישם אותם ביעילות.

מְחַבֵּר

דן רייווד

דן רייווד כתב על אבטחת IT מאז 2008, והוא אנליסט לשעבר ב-451 Research Practice. הוא דיבר בתערוכות כולל 44CON, SecuriTay, SteelCon, Irisscon ו-Infosecurity Europe, וכן כתב עבור מספר בלוגים של ספקים והציג בשידורי אינטרנט.

צפה בכל הפוסטים של דן רייווד