De rol van Chief Information Security Officer (CISO) is nooit zo uitdagend en cruciaal geweest als vandaag de dag. Met de exponentiële toename van cyberdreigingen, die onherstelbare schade aan de reputatie kunnen veroorzaken, het vertrouwen en het vermogen van de organisaties, CISO's moeten voorbereid zijn om een steeds complexer en dynamischer scenario het hoofd te bieden
In 2024, Brazilië heeft een significante toename van cyberaanvallen geregistreerd. In het eerste kwartaal, er was een groei van 38% ten opzichte van dezelfde periode in 2023, met Braziliaanse organisaties die lijden, gemiddeld, 1.770 wekelijkse aanvallen. In het tweede kwartaal, de toename was nog sterker, bereiken van 67% in vergelijking met het voorgaande jaar, met een gemiddelde van 2.754 aanvallen per week per organisatie. In het derde kwartaal, het gemiddelde wekelijkse aantal aanvallen per organisatie in Brazilië bereikte 2.766, vertoont een groei van 95% ten opzichte van dezelfde periode in 2023. De meest doelgerichte sectoren waren de financiën, gezondheid, regering en energie, aangezien de belangrijkste soorten aanvallen ransomware waren, phishing, DDoS en APT's (Geavanceerde Persistente Bedreigingen)
CISO's moeten zich aanpassen aan dit nieuwe tijdperk van ongekende cyberaanvallen – vaak verschillende functies tegelijkertijd vervullend en, in het geval van Brazilië, het beheren van een scenario van kostenbeheersing en investeringen in cyberbeveiliging
De rol van de moderne CISO
De functie van CISO is relatief nieuw. In tegenstelling tot de financiële directeuren of uitvoerende directeuren, de functie van directeur informatiebeveiliging bestond officieel niet tot halverwege de jaren negentig
Bovendien, de rol van de CISO is voortdurend aan het veranderen binnen organisaties. Volgens het CISO-rapport van 2023 van Splunk, 90% van de ondervraagden geloofden dat de functie een "volledig andere baan" was geworden dan toen ze begonnen
Als in het begin de CISO verantwoordelijk was voor het opstellen van beleid, governance van veiligheid en implementatie van meer rudimentaire veiligheidscontroles, wat deze professional ertoe bracht een veel technischer dan managementgerichte visie te hebben, vandaag is de lijst met taken gegroeid, en veel. Een van hen, bijvoorbeeld, het is de politieke functie van de rol: CISOs moeten nauwe werkrelaties hebben met de CEO, de CFO en de juridische afdeling van de organisatie. Het budget van de veiligheidssector is een essentiële voorwaarde om de myriad aan bedreigingen waarmee we vandaag de dag te maken hebben het hoofd te bieden
En dat is het, nog steeds, het is een probleem voor bedrijven over de hele wereld, bijzonder in Brazilië. De complexiteit van het scenario brengt, aan de ene kant, een land met een van de hoogste aantallen aanvallen ter wereld. Aan de andere kant, de economische onzekerheden en de fluctuatie van de dollar (aangezien de overgrote meerderheid van de oplossingen in vreemde valuta wordt verkocht) zorgen ervoor dat de CISO's moeten balanceren met de beschikbare middelen om de bescherming van het bedrijf te waarborgen
Goede communicatoren
In tegenstelling tot een afbeelding die sterk leunt op het stereotype van de technicus in het verleden, vandaag moet de CISO een leiderschapsrol vervullen en een goede communicator zijn om de ontwikkeling van een sterke cyberbeveiligingscultuur binnen het bedrijf te leiden
Een ander belangrijk punt is dat de CISO's niet alleen kunnen optreden in het beheer van informatiebeveiliging. Ze moeten rekenen op de steun en samenwerking van het externe ecosysteem, die leveranciers omvat, klanten, partners, regulerende instanties, klassenentiteiten en beveiligingsgemeenschappen. Deze actoren kunnen bijdragen met informatie, middelen, oplossingen en goede praktijken die de executive helpen de veiligheid van zijn organisatie te verbeteren en te versterken. Daarom, de communicatie en de relatie met de markt zijn ook essentieel
Veiligheid moet beginnen vanuit een holistisch perspectief
Het is niet genoeg om geïsoleerde en reactieve beveiligingshulpmiddelen en -processen te hebben. CISO's moeten een holistische en geïntegreerde visie op beveiliging hebben, die de cultuur en het bewustzijn van de medewerkers omvat, tot de governance en de afstemming op de bedrijfsdoelstellingen
Veiligheid moet worden gezien als een transversaal en essentieel element voor de continuïteit en groei van de organisatie, en niet als een kost of een belemmering. Daarvoor, de CISOs moeten de andere afdelingen en leiderschappen van het bedrijf betrekken, de waarde en het rendement van veiligheid aantonen, en het vaststellen van duidelijke en meetbare beleidsmaatregelen en indicatoren
Een gevoel van urgentie is essentieel om bedreigingen te kunnen voorzien
Cyberbedreigingen zijn voortdurend in ontwikkeling en verfijning, en kunnen elke organisatie beïnvloeden, onafhankelijk van de grootte of de sector. Daarom, het is belangrijk om altijd alert en up-to-date te zijn over de trends en kwetsbaarheden van de markt, en investeren in oplossingen en methoden die het mogelijk maken om zich voor te bereiden op bedreigingen en risico's
Een van de manieren om dit te doen is door een benadering van veiligheid door ontwerp aan te nemen, die veiligheid vanaf het ontwerp tot de levering van de producten en diensten van de organisatie integreert. Een andere manier is om periodieke tests en simulaties uit te voeren die de effectiviteit en veerkracht van de systemen en de beveiligingsprocessen evalueren, en identificeer kansen voor verbetering en mitigatie
Hoewel de rol van de CISO nog steeds in transformatie is, dit professionele is een sleutelrol voor de bescherming en innovatie van organisaties in het digitale tijdperk. CISO's moeten voorbereid zijn om om te gaan met een ongekend niveau van bedreigingen, die een proactief informatiebeveiligingsbeheer vereisen, strategisch en collaboratief
Ten slotte, CISO's moeten zich realiseren dat informatiebeveiliging niet alleen een technische kwestie is, maar ook een factor van concurrentievermogen en waarde voor de klanten. Degen die erin slagen de veiligheid af te stemmen op de bedrijfsdoelstellingen en de verwachtingen van de belanghebbenden, en die de voordelen en uitdagingen van veiligheid op een duidelijke en overtuigende manier kunnen communiceren, zij zullen in staat zijn om een sterke en duurzame veiligheidscultuur binnen de organisatie op te bouwen, en bij te dragen aan uw succes en groei in het digitale landschap
