När du har arbetat i mer än två decennier som CISO, blir det en självklarhet att lyssna efter de bästa råden och lärdomarna från sina kollegor.
Efter att ha konfererat med säkerhetschefer från när och fjärran, var dessa de bästa råden som givits under de senaste månaderna:
CISO:s måste vara djärva nog att lämna sitt gamla säkerhetstänk
Våra angripare blir mer organiserade – justerar ständigt attackvektorer, studerar allmänt använda säkerhetsinstruktioner och testar sina attacker mot föråldrade säkerhetsverktyg. Trots detta agerar 90 % av alla CISO:s idag som om inget har hänt, de klamrar sig fast vid sitt gamla säkerhetstänk och förlitar sig på äldre teknologier som IDPS (Intrusion, Detection and Prevention Systems).
Men de gamla sätten fungerar inte, så våra CISO:s måste vara modiga, kasta sitt gamla säkerhetstänk åt sidan och skippa ineffektivt arbete. De måste initiera ett hotstyrt tillvägagångssätt och ersätta äldre verktyg med lösningar som passar bättre med datacentrerade säkerhetsmodeller för att få bättre valuta för pengarna totalt sett. Till exempel kan ett statiskt signaturbaserat system som ger upphov till tusentals kontextlösa larm ersättas med en lösning som använder beteendecentrerade tillvägagångssätt som stöds av AI och Machine Learning för att upptäcka de mest riskabla beteendena och presentera dem för ditt team.
Ditt ISO-certifikat kommer inte att rädda dig från intrång!
Att nå en viss nivå av compliance ger ett tydligt tecken på framsteg för styrelsen i en notoriskt svårmätbar disciplin. Men sanningen är att du kan spendera år på att implementera alla 114 av ISO 27001:s kontroller, och en beslutsam angripare kan ändå kringgå ditt försvar på några timmar.
I stället måste tillvägagångssätten vara HOT-styrda, identifiera organisationens mest värdefulla tillgångar, vem som sannolikt kommer att försöka göra intrång där och prioritera aktiviteter för att mildra de identifierade riskerna. CISO:s bör mäta säkerhetsinsatserna baserat på deras förmåga att upptäcka om de har överträtts, med hjälp av meningsfulla mätvärden som snitttiden för ett intrång vid testning av säkerheten eller snittiden för att upptäcka hot. Sedan kan CISO:s arbeta för att få ner dessa siffror till en överenskommen acceptabel nivå.
På ditt nästa styrelsemöte, låt compliance-siffrorna finnas i fotnoten och fokusera på de hot som din organisation står inför och de risker som uppstår som ett resultat.
Agil IT är inte alltid svaret
Inom mjukvaruutveckling kan den agila metoden “förflytta sig snabbt, misslyckas snabbt” hjälpa team att snabba upp lanseringstider och ta bort hinder, särskilt i små organisationer och team. Men metoden är svår att skala upp eller ner och fungerar inte alltid i alla situationer för säkerhetsavdelningarna – särskilt när team försöker kringgå säkerhet och företagsstyrning för att uppfylla sina leveransmål. Man bör vara noga med att välja den bästa och lämpliga leveransmekanismen för uppgiften, eftersom den inte alltid kommer att vara agil.
Att ha ett mycket tydligt tillvägagångssätt för förvaltningen med lämpliga “skyddsräcken”, att välja bra verktyg för att automatisera säkerhetstestning och där det är möjligt att köra regelbundna intrångstester från så kallade red-teams hjälper till att maximera chanserna till framgång. CISO:s behöver verktyg som noggrant kan övervaka miljöer, misstag och felkonfigurationer för att effektivt minska riskerna. Den bredare verksamheten måste inse att en produkt inte är komplett förrän alla relevanta säkerhetsfunktionskrav är uppfyllda, “Säkerhet” är inte bara godkännandet som en av de sista uppgifterna i sprinten. Kom ihåg att du kan säga nej om riskerna inte kan kvantifieras, eller helt klart faller utanför det din styrelse ser som acceptabel risk.
Sårbarhetsskanning räcker inte
Att arrangera ett årligt penetrationstest av dina system är inte detsamma som ett omfattande intrångssystem av så kallade red-team. Oavsett mognad måste varje CISO kunna erbjuda en tydlig bild av hur deras säkerhet verkligen håller emot hackarens taktik, teknik och tillvägagångssätt.
Detta innebär att man genomför en hot-fokuserande red-team-övning, som tar hänsyn till flera scenarier som ofta används av riktiga angripare och omfattar människor, processer och teknik. Att använda sig av Red-Teams kommer att erbjuda en avsevärt bättre insikt i hur cyberkriminella kan försöka identifiera och utnyttja de svagaste länkarna i kedjan för att uppnå sina mål (t.ex. exfiltrering av kunddata). Det gör det möjligt för organisationen att förbättra sitt försvar stegvis, genom att adressera den enklaste men mest troliga vägen in i organisationen ur angriparens perspektiv.
Med kunskapen från en red-team-övning kan en CISO prioritera förbättringsprogram för att agera effektivt mot verkliga risker, upptäcka luckor som annars skulle missas i ett vanligt penetrationstest.
Enbart fokus på tekniska färdigheter håller CISO:er tillbaka
CISO-rollen är relativt ny jämfört med många andra ledarroller, eftersom rollen aldrig har definierats tydligt och varje CISO fungerar på olika sätt. De flesta kommer dock från en mycket teknisk bakgrund och har anställt kloner av sig själva i flera år. För att få största möjliga inverkan på en organisation måste CISO:s utveckla fler mjuka färdigheter som kommunikation med intressenter och affärsmannaskap. Om inte, kommer de att sitta fast i sin enhet och hållas utanför styrelserummet i ytterligare decennier.
Eftersom varje roll varierar bör CISO:s överväga detta när de ansöker om rollen eller kommer överens om jobbspecifikationen, och se till att de kan påverka sin organisation positivt innan de tar anställning. Detta innebär att se till att rollen övervakar tekniska uppgifter men inte nödvändigtvis behöver utföra dem, förstå hur viktig säkerhet är i den övergripande affärsstrategin, bedöma säkerhetsprogrammets mognad och se till att du har inköpskontroll. Utan inköpskontroll blir det svårt att byta ut gamla verktyg mot lösningar som hjälper till att driva automatisering och minska manuella ansträngningar.
CISO:s och deras team måste erbjuda service med ett leende
Som säkerhetsproffs är vi inte kända för att vara lättsinnade på kontoret. Det är sant att vi ofta avvärjer allvarliga incidenter med potentiellt djupgående konsekvenser för organisationen och våra karriärmöjligheter. Men våra relationer med andra kännetecknas vanligtvis som en typ av polisarbete och verkställighet snarare än engagemang och stöd. Detta måste förändras.
CISO:s borde få sina team att bygga starka relationer med personer i organisationen, förstå de tekniska processerna tillräckligt väl för att erbjuda rätt verktyg till rätt personer vid rätt tidpunkt. Faktum är att de kommer att bli mer som interna säljare eller säkerhetsevangelister än revisorer, vilket får alla att acceptera säkerhetsprogrammet och bli mer mottagliga för utbildning och nödvändiga säkerhetskontroller.
Små segrar, stor påverkan
I dagens hotlandskap – där moln och distansarbete komplicerar IT-landskapet och cyberbrottslingar samtidigt blir mer målinriktade i sina tillvägagångssätt – står säkerhetscheferna inför fler hinder än någonsin.
Men en sak förblir densamma. För att trivas måste CISO:er förstå var deras viktigaste utmaningar ligger och hur man kan övervinna dem.
Av Steve Cottrell, EMEA CTO på Vectra