セキュリティアームの競争では、このサイクルはよく知られています。ディフェンダーは、セキュリティ製品、攻撃者の防御などに何十億も費やしています。 私たちは歴史を繰り返すことになると思われ、支出と防衛のループに閉じ込められています。 間違ったツールは問題の中心ですか? 攻撃者はあまりにもスマートなので、私たちはそれに追いつくことができませんか?
真実は、傲慢と恐怖もまた問題の一部であるということです。 あまりにも多くのCISOが、過去に働いていた周辺を守るための「城を守る」アプローチが、今後も最善の策であると確信しています。 彼らは彼らが快適であるものを放棄するのを恐れている。 しかし、CISOは、ますます有効ではない戦略から、今日のビジネス環境における実際のセキュリティ問題に実際に対処するアプローチへの転換を準備する必要があります。
2015年には、 サイバーセキュリティに750億ドルを費やした しかし、攻撃の規模はますます悪化しています。
ではなぜ、私たちは働かない解決策を払っているのですか?なぜCISOは変化に動揺しませんか? 1つの理由は、古い「IBMを買うために誰も解雇されない」という議論だ。 レガシーソリューションは、従来のアプライアンスベースのオンデマンドソリューションを好む業界アナリストから強く推奨されているように、「安全」です。 CISOは、あまりにもしばしば、コンフォートゾーンの外に出て行くのではなく、アナリストの承認を得ているものを購入することを好みます。
報告構造が途方もない
もう1つの理由:ほとんどの組織では、CISO(通常CIO)に報告するCISOによる真実の発言には、レポート構造が役立たない。 CISOは、ビジネス全体に利益をもたらす決定的な動きをする権限がありません(または、以前の決定は間違いであっても、もはや効果的ではないことを認めている)。 CIOやCISOは、自分たちが構築したネットワークやセキュリティーアーキテクチャーに個人的、財政的に投資しています。
からの調査によると K Logix CISOの半数以上がCIOに報告しているのに対して、CEOに報告したのは15%にとどまっています。 より多くのCISOは、最高責任者、または少なくとも最高リスク責任者に報告する必要があります。 彼らのアイデア(そして彼らのキャリアと報酬の可能性が高い)が打ち切られることを恐れることなく、リーダーシップに正直な批判を与える能力が必要です。 現在の状況では、CIOはセキュリティ専門家がITを支えることを望んでおらず、CISOはボートを揺るがしたくありません。
攻撃のリスクに関する情報を共有することを約束していない執行チームは、攻撃が発生したときに直面している問題に対処することで、Equifax形式の結果につながる可能性があります。 どのような種類の報告構造の故障が、信用調査会社の大規模な2017年の違反行為につながったのか、それを開示する際の足元の動きを完全には明らかにしていないが、正しいEquifax社の役員は、 行こう。
最近の似たような傲慢の例、または単純な不注意:ウェブサイトの脆弱性のため、Panera Breadは、セキュリティ研究者がパンフレットチェーンにこの脆弱性について連絡した後も数百万件の顧客レコードを漏洩しました。 パネラの幹部に漏洩の話があったとき、彼らは 数ヶ月間情報に座った ; かつてのブライアンクレブス Krebs on Security ベーカリーチェーンのCIOに連絡を取り、ニュースが公開され、企業のリーダーがウェブサイトを引き出し、オンラインに戻し、漏れがどれだけ悪いのかを軽視しました。
セキュリティリスクに関する警告を発するための監督構造がないため、セキュリティ専門家は、クラウドと職場のモビリティに関して実際に何が起こっているのか分かりません。 また、レガシーソリューションは、従業員が気づかないうちにクラウドアカウントに作業文書を移動させたり、オープンな無線LANやセキュリティで保護されていない接続されたデバイスで家庭、ホテル、カフェに仕事をもたらす場所には適していません。
従来のソリューションで十分であると仮定することで、CISOは従来の境界にはいない人々のセキュリティ構造を作成しています。 20年前、これらのアーキテクチャは理にかなっていました。技術の変化のスピードは氷河であり、ほぼすべての従業員がオンサイトで働いていました。 現在、ハードウェアの償却額は5年ではなく約20分です。
ビジネス戦略家としてのCISO
セキュリティアプローチの変革には時間とコストがかかります。 脅威主体はほとんど何もしない守備側に頼っているので、攻撃を成功させることができます。 私たちは基本から始めることができます。 CISOは、他の部門長との関係を構築して、ニュースがフィルタリングされるのを待つのではなく、セキュリティに影響するビジネスイニシアチブを明らかにする必要があります。 それは、技術顧問としてのCISOの役割の制約を取り除くことの一部です。 CISOは、ビジネスに精通した面でゲームを進める必要があります。私たちのほとんどは技術とセキュリティに集中するように訓練されているので、確かに挑戦してください。 (私は「マネジャーのためのMBA Essentials」でコースを受講しました.CISOとして私はそれをお勧めします)。
関係構築もボードに及ぶ。 リーダーがリスクと解決策を理解する必要がある場合、CISOはビジネス計画のセキュリティの観点についての情報を提供する必要があります。 あまりにも頻繁に、最高レベルで議論された変更は、既に購入され、支払われているビジネスシステムのセキュリティに誰かが触れなければならない時にセキュリティチームに伝わるだけです。 セキュリティは、設計上のものであって、後からのものではありません。
勇敢なCISOは、彼らが構築したアーキテクチャがもはや消えていく境界を反映していないことを認識して、急進的な変化を唱えるべきである。 過去にCISOがレガシーソリューションを採用していたとしても、将来彼らに挑戦することはできません。 インフラストラクチャーを今日の世界に向けてスピードアップするだけでは不十分です。開始する前に、あなたは遅れるでしょう。 将来になると思われるものに基づいてセキュリティを構築します。
Bil Harmerはアメリカ大陸のCISOです。 Zscaler 。