Uloga glavnog službenika za informatičku sigurnost (CISO) nikada nije bila toliko izazovna i ključna kao danas. S porastom eksponencijalnih kibernetskih prijetnji, koji mogu uzrokovati nepopravljivu štetu ugledu, povjerenju i imovini organizacija, CISOs moraju biti spremni suočiti se s sve složenijim i dinamičnijim okruženjem
U 2024, Brazil je zabilježio značajan porast kibernetičkih napada. U prvom tromjesečju, došlo je do povećanja od 38% u odnosu na isto razdoblje 2023., s organizacijama iz Brazila koje pate, u prosjeku, 1.770 tjednih napada. U drugom tromjesečju, povećanje je bilo još izraženije, postizanje 67% u usporedbi s prethodnom godinom, s prosjekom od 2.754 napada tjedno po organizaciji. U trećem tromjesečju, prosječan tjedni broj napada po organizaciji u Brazilu dosegao je 2.766, predstavljajući rast od 95% u odnosu na isti period 2023. godine. Najviše su bili ciljani sektori financija, zdravlje, vlada i energija, s obzirom na to da su glavni tipovi napada bili ransomware, phishing, DDoS i APT-ovi (Napredne Perzistentne Prijetnje)
CISO-ovi se moraju prilagoditi ovoj novoj eri neviđenih kibernetičkih napada – često obavljajući više funkcija istovremeno i, u slučaju Brazila, upravljanje scenarijem smanjenja troškova i ulaganja u kibernetičku sigurnost
Uloga modernog CISO-a
Pozicija CISO je relativno nova. Za razliku od financijskih direktora ili izvršnih direktora, funkcija direktora sigurnosti informacija službeno nije postojala do sredine 1990-ih
Osim toga, uloga CISO-a se stalno mijenja u organizacijama. Prema izvještaju CISO-a iz 2023. godine kompanije Splunk, 90% ispitanika vjerovalo je da je funkcija postala "potpuno drugačiji posao" u odnosu na kada su počeli
Ako je na početku CISO bio odgovoran za izradu politika, upravljanje sigurnošću i implementacija osnovnijih sigurnosnih kontrola, što je dovelo do toga da ovaj profesionalac ima mnogo tehničkiji nego menadžerski pogled, danas je popis zadataka povećan, i vrlo. Jedna od njih, na primjer, to je politička funkcija položaja: CISO-ovi moraju imati bliske radne odnose s izvršnim direktorom, CFO i pravna služba organizacije. Proračun sektora sigurnosti je osnovni uvjet za suočavanje s mnoštvom prijetnji koje danas postoje
I to je, još, to je problem za tvrtke širom svijeta, posebno u Brazilu. Složenost scenarija donosi, s jedne strane, zemlja s jednim od najvećih indeksa napada na svijetu. S druge strane, ekonomske nesigurnosti i fluktuacija dolara (budući da se velika većina rješenja prodaje u stranoj valuti) prisiljavaju CISOs da se balansiraju s dostupnim resursima kako bi osigurali zaštitu tvrtke
Dobri komunikatori
Suprotno slici koja je vrlo oslonjena na stereotip tehničara iz prošlosti, danas CISO treba imati ulogu vođe i biti dobar komunikator kako bi vodio stvaranje čvrste kulture kibernetičke sigurnosti unutar tvrtke
Druga važna točka je da CISOs ne mogu djelovati sami u upravljanju sigurnošću informacija. Moraju se osloniti na podršku i suradnju vanjskog ekosustava, koji uključuje dobavljače, klijenti, partneri, regulatorna tijela, entiteti klase i zajednice sigurnosti. Ovi glumci mogu doprinijeti informacijama, resursi, rješenja i dobre prakse koje pomažu izvršnom direktoru da unaprijedi i ojača sigurnost svoje organizacije. Zato, komunikacija i odnos s tržištem također su ključni
Sigurnost treba početi iz holističke perspektive
Nije dovoljno imati izolirane i reaktivne alate i procese sigurnosti. CISO-i trebaju imati holistički i integrirani pristup sigurnosti, koja obuhvaća kulturu i svijest zaposlenika, do upravljanja i usklađivanja s poslovnim ciljevima
Sigurnost se mora smatrati kao presudan i bitan element za kontinuitet i rast organizacije, i ne kao trošak ili prepreku. Za to, CISO-e trebaju uključiti ostale sektore i vođe u kompaniji, pokazujući vrijednost i povratak sigurnosti, i uspostavljanju jasnih i mjerljivih politika i indikatora
Osjećaj hitnosti je ključan za anticipaciju prijetnjama
Kibernetičke prijetnje su u stalnoj evoluciji i sofisticiranosti, i mogu utjecati na svaku organizaciju, neovisno od veličine ili sektora. Zato, važno je uvijek biti pažljiv i ažuriran o trendovima i ranjivostima tržišta, i ulagati u rješenja i metodologije koje omogućuju anticipiranje prijetnji i rizika
Jedan od načina da to postignete je usvajanje pristupa sigurnosti kroz dizajn, koji uključuje sigurnost od samog dizajna do isporuke proizvoda i usluga organizacije. Drugi način je provođenje redovitih testova i simulacija koji ocjenjuju učinkovitost i otpornost sustava i sigurnosnih procesa, i identificiraju prilike za poboljšanje i ublažavanje
Iako je uloga CISO-a još uvijek u transformaciji, ovaj profesionalac je ključni faktor za zaštitu i inovaciju organizacija u digitalnom dobu. CISO-i moraju biti spremni nositi se s neviđenim razinama prijetnji, koji zahtijevaju proaktivan pristup upravljanju sigurnošću informacija, strateška i suradnička
Na kraju, CISOs trebaju imati na umu da sigurnost informacija nije samo tehničko pitanje, ali i faktor konkurentnosti i vrijednosti za klijente. Oni koji uspiju uskladiti sigurnost s poslovnim ciljevima i očekivanjima dionika, i koji znaju jasno i uvjerljivo komunicirati prednosti i izazove sigurnosti, bit će sposobni izgraditi snažnu i održivu kulturu sigurnosti u organizaciji, i doprinositi vašem uspjehu i rastu na digitalnoj sceni
