Vier stappen om de beste CISO aan te nemen in een IoT-wereld

Van alle nieuwe technologische processen die de volgende golf van digitale transformatie vormgeven, is er misschien geen enkele prominenter dan het Internet of Things (IoT). Als Phil Celestini, Senior Vice President en Chief Security and Risk Officer bij Syniverse rapporten, brengt deze technologie een nieuw ecosysteem voort van onderling verbonden netwerken en gegevenstransacties dat zich snel uitbreidt en de manier waarop we zaken doen opnieuw definieert.

Maar wat vaak over het hoofd wordt gezien, is dat het IoT ook een internet is van gedeelde diensten en data. Dit feit is een van de grootste uitdagingen voor bedrijven die hun bedrijf willen integreren met het IoT en er tegelijkertijd voor willen zorgen dat aanvalsvectoren en bijbehorende risico's worden aangepakt. Deze verdediging omvat verschillende vaardigheden en teams onder leiding van de Chief Information Security Officer (CISO).

Vanuit een risicoperspectief is het openbare internet eigenlijk nooit ontworpen als een veilige omgeving. Het is ontworpen als een netwerk met ingebouwde redundantie voor academici en onderzoekers om gegevens te delen, niet om de toegang ertoe te beschermen. Daarom is het meer een best-effort-netwerk dan het best-in-class netwerk dat nodig is om de vertrouwelijkheid, integriteit en beschikbaarheid van transacties te waarborgen. Aangezien het uitgangspunt van het IoT is gebaseerd op connectiviteit, kan een kwaadaardige aanval die deze connectiviteit in gevaar brengt, ongekende schade aanrichten. Het hebben van het juiste leiderschap om het succes van uw informatiebeveiligingsteam te stimuleren bij de verdediging tegen dergelijke ravage is cruciaal.

Met dit in gedachten moeten bedrijven de juiste balans vinden tussen veilig blijven en innovatie benutten om te profiteren van ontwikkelingen zoals het IoT. Een cruciaal onderdeel hiervan begint bij het selecteren van de beste CISO, iets wat ik enkele maanden geleden met groot succes heb gedaan. Hier zijn vier factoren die ik heb overwogen bij het beoordelen van kandidaten voor de CISO-positie, gebaseerd op meer dan 35 jaar ervaring in risicovolle operaties en het toezicht houden op verschillende facetten van beveiliging voor bedrijven, de FBI, inlichtingendiensten en het leger.

4 factoren voor het inhuren van een CISO

• Beveiliging zit in de titel, maar zal niet de enige taak zijn: Beveiliging moet worden behandeld als een service die als een bedrijf binnen uw bedrijf moet worden uitgevoerd. Dat betekent dat CISO's de strategie, bedrijfsdoelstellingen en risico's van hun bedrijf moeten begrijpen om echt waarde te kunnen bieden. Daarnaast zijn er benchmarks, best practices en regelgeving die bepalen hoe informatietechnologie en data moeten worden beveiligd. In dit opzicht kunnen CISO's beveiligings- en marktinzichten bieden die verkoop- en marketingteams kunnen gebruiken om een ​​sterk bedrijfsverhaal over beveiligingshouding te creëren om uw bedrijf te onderscheiden van de concurrentie.
• CISO's moeten openlijk communiceren met de C-suite: Een veiligheidscultuur wordt ondersteund door factoren zoals hoe een organisatie is uitgelijnd en hoe rapportage is gestructureerd. Als het gaat om ondernemingsrisico's, moet een CISO zo direct mogelijk rapporteren aan de C-suite. Er zullen verschillen zijn op basis van de grootte en volwassenheid van een organisatie, maar hoe dichter toegang tot de CEO is, hoe minder "gefilterde" kritische gesprekken zullen zijn. Op risico gebaseerde beslissingen die een CISO naar de C-suite moet verheffen, kunnen soms moeilijk zijn om aan senior leiders te communiceren, omdat die beslissingen van invloed zijn op andere belanghebbenden en zelden in een vacuüm plaatsvinden.
• ‘Beveiliging’ is uitgebreid: Twintig jaar geleden was het gebruikelijk om in een organisatie te werken waar 'beveiliging' betekende dat iemand in de IT een firewall beheerde. Maar de dynamiek van de markt en de eisen van de consument hebben sindsdien de manier waarop bedrijven werken beïnvloed en de behoefte aan professionele informatiebeveiligingsmedewerkers gestimuleerd. Vandaag de dag zorgen externe factoren zoals regelgeving, wettelijke vereisten en eisen van de klant ervoor dat robuuste beveiliging nodig is om gewoon door te kunnen gaan. CISO's moeten gewapend zijn met deze kennis en het juiste budget om hen in staat te stellen hun beveiligingsstrategie te definiëren in de realistische context van de financiën en doelstellingen van hun bedrijf.
• De beste CISO's zijn de beste studenten: CISO's moeten technisch vaardige, sterke leiders en scherpzinnige bedrijfsmanagers zijn. De rol van CISO is een reis en goede CISO's moeten toegewijde levenslange leerlingen zijn. De industrie stopt nooit met evolueren samen met technologie, wat betekent dat dreigingsvectoren complexer zullen worden, net als wetten op het gebied van gegevensprivacy en tal van andere externe "beïnvloeders" op de rol van de CISO. Dit genereert een constante behoefte om kennis te onderhouden en op te frissen om te voldoen aan degelijke risicobeheerpraktijken.

De snelle groei van IoT-apparaten en -toepassingen die afhankelijk zijn van het openbare internet, opent een nieuw tijdperk in connectiviteit – en kwetsbaarheid. Terwijl bedrijven de kansen van dit tijdperk grijpen, lopen ze het risico commerciële gegevens en systemen bloot te stellen aan een openbaar internet dat nooit voor dat doel is bedoeld.

Uiteindelijk moeten bedrijven die zaken willen doen en gegevens willen overdragen met zekerheid, beveiliging en privacy een beveiligingsstrategie hebben om hun activiteiten te beschermen tegen het openbare internet, en een cruciaal onderdeel van deze strategie is het vinden van de juiste CISO. De vier factoren hier bieden een nuttige basis om dit proces te informeren.

Over de auteur

De auteur is Phil Celestini, senior vice president en chief security and risk officer bij Syniverse.