Anonim
Gorodenkoff / Shutterstock

Počet a druh „vedoucích pracovníků na úrovni C“, jak se lidé, kteří se hlásí generálnímu řediteli (CEO) ve velkých korporacích, nazývají jako skupina, se zdají být pozdě. Vedoucí informační bezpečnosti nebo CISO je výkonný ředitel na úrovni C, který odpovídá za bezpečnost informací pro celou firmu nebo organizaci.

Pochopení role CISO

CISO boty se plní víc než jen s hlubokým porozuměním informační bezpečnosti. Ve výkonné sadě znamená provádění těchto úloh na úrovni C souvislost s konkrétními aspekty podnikání nebo technologie s celkovou vizí, která řídí a řídí jakoukoli dobře fungující organizaci. To znamená, že CISO musí také pochopit zastřešující podnikovou vizi a strategii organizace a poté podniknout všechny kroky nezbytné k tomu, aby bylo zajištěno, že její informační aktiva a technologie jsou řádně chráněny.

Úloha CISO tak zahrnuje celou řadu životně důležitých oblastí znalostí, které musí v podniku uzákonit. Patří sem následující prvky:

  • Posouzení rizik, zmírnění a vyhýbání se rizikům - to znamená provést důkladný průzkum a inventarizaci informačních aktiv, duševního vlastnictví a dalších digitálních cenných hodnot, porozumět hrozbám, kterým čelí, a rozhodnout, jaké kroky podniknout k ochraně těchto aktiv před poškozením, ztrátou nebo poškozením . Nakonec to také přispívá k podnikové bezpečnostní politice, která definuje, jaké úrovně ochrany a reakce by měly být spojeny s informačními aktivy a digitálními držbami.
  • Soulad s právními a regulačními předpisy - to zahrnuje porozumění tomu, jak informační aktiva podniku a digitální holdingy spadají do oblasti působnosti platných zákonů a předpisů a jsou v souladu s příslušnými požadavky, jako jsou hodnocení, audity, zprávy, soukromí, důvěrnost a další. Znamená to také být ochotný a schopen nést břemeno řešení narušení bezpečnosti a posuzovat a řešit případné právní, obchodní a finanční důsledky tohoto narušení.
  • Architektura podnikání a bezpečnosti - jako formální disciplína v oblasti IT se architektura snaží zajistit, aby získávání a používání technologií umožňovalo a posilovalo schopnost organizace plnit obchodní cíle, dosahovat výkonnostních a růstových cílů a zůstat konkurenceschopnými na svém vybraném trhu (trzích). Podniková architektura bere tento pohled z pohledu celé infrastruktury, zatímco architektura zabezpečení to dělá z užšího zaměření na nástroje a technologie potřebné k poskytování druhů a úrovní ochrany, které vyžadují posouzení rizik a požadavky na dodržování předpisů.

Nejjednodušší způsob, jak to všechno pochopit, je uznat, že úkolem CISO je zajistit, aby bezpečnostní pozice a politika organizace byla v souladu s obchodní vizí; poskytovat ochranu a podporu nezbytnou pro její úspěšnou realizaci; a snažit se čelit snahám o zmírnění a zotavení z narušení bezpečnosti, selhání soukromí nebo regulačních opatření nebo z důvodu selhání bezpečnostní politiky, ke kterým někdy dochází.

CISO Vzdělávací zázemí

Každý, kdo se zaměří na práci na úrovni C, musí získat minimálně bakalářský titul a pravděpodobně získá i jeden nebo více magisterských titulů. Většina exekutivů na úrovni C kombinuje hluboké porozumění obecným obchodním principům a praktikám spolu s jakoukoli oblastí, kde mohou sídlit jejich speciality. Je tedy pravděpodobné, že CISO získal titul MBA (Master of Business Administration), jakož i specializovanější magisterský titul z oblasti informatiky nebo související disciplíny zaměřený na bezpečnost.

Magisterské tituly zahrnuté pod záštitou Národních center akademické excelence, spolupráce mezi Ministerstvem vnitřní bezpečnosti (DHS) a Národní bezpečnostní agenturou (NSA), jejichž cílem je podpora rozvoje kvalifikovaných profesionálů v oblasti kybernetické bezpečnosti, poskytují dobrý soubor potenciálních příklady takových programů.

IT certifikace

Existuje mnoho certifikací bezpečnosti informací, které pravděpodobně budou mít hodnotu a využijí se pro aspirující CISO. Hledejte další pověření pro vyšší informační zabezpečení (infosec), například:

  • Certified Information Security Manager (CISM)
  • Offensive Security Certified Professional (OSCP)
  • Certified Information Systems Security Professional (CISSP)

Kromě toho důrazně doporučujeme, aby aspirující CISO získaly certifikaci ISACA v oboru CGEIT (Governance of Enterprise IT). Je to proto, že se toto pověření zaměřuje na porozumění a uplatňování zásad a postupů podnikového řízení IT pro jednotlivce. Takové zaměření je nezbytnou součástí zajištění toho, aby si byl podnik vědom všech platných zákonů a předpisů, zejména pokud se týkají bezpečnosti informací.

Pracovní zkušenosti

Výkonný svět na úrovni C se zaměřuje na podnikání a některé další technické oblasti. Pro CISO je to informační bezpečnost. Většina ctižádostivých CISO vychází z role podnikové informační bezpečnosti, obvykle takové, které zahrnuje stints jak jako technický expert nebo individuální přispěvatel, tak i celou řadu postupně odpovědných manažerských funkcí (manažer, ředitel, viceprezident atd.). Důležitou věcí této pracovní zkušenosti je, že prokazuje hluboký a trvalý zájem a odborné znalosti v oblasti informační bezpečnosti v kombinaci se skutečným porozuměním tomu, jak navrhovat, implementovat, udržovat a prosazovat bezpečnostní politiky v obchodním kontextu.

Důležitá věc o předchozích zkušenostech s dosahováním hvězd (stejně jako práce na úrovni C) je, že je to relevantní a praktické. To znamená, že budete chtít věnovat nějaký čas jednomu nebo více pozicím, kde musíte přijmout nebo implementovat, pak formulovat bezpečnostní politiky.

Stejně tak je důležité mít nějaké zkušenosti se strategiemi reakce na incidenty a nápravou zabezpečení v důsledku narušení, vloupání nebo jiného druhu „hackerského útoku“. Práce s několika regulačními a / nebo právními předpisy o dodržování právních předpisů, včetně bezpečnostních auditů, vyšetřování a dokonce i právních úkonů, vám také pomůže pochopit podrobnosti o této části práce.

Vzhledem k rostoucímu počtu hrozeb a zneužití v dnešním bezpečnostním prostředí je důležité kultivovat „ne-li, ale kdy“postoj k budoucím bezpečnostním incidentům. Pokud jste připraveni se s takovými výzvami vypořádat, je mnohem pravděpodobnější, že vrcholovému managementu dokážete, že můžete dělat práci CISO se schopností, élanem a expedicí.

Pro každého výkonného manažera na úrovni C je nutná silná ústní a písemná komunikace. Tito vedoucí pracovníci musí být pohodlní a kvalifikovaní při oslovování svých vedoucích pracovníků, ale také při rozhovoru s velkým počtem zaměstnanců, akcionářů nebo investorů nebo odborníků v oblasti bezpečnosti (možná v souvislosti s expozicí společnosti nebo průmyslovým obchodem nějaké povahy).

Jako vedoucí pracovníci na vyšší úrovni musí vedení na úrovni C rozumět přílivům a tokům lidí a myšlenek v politické dimenzi a musí vědět, jak přesvědčit zúčastněné strany a kolegy vedoucí k přijetí nebo porozumění konkrétním názorům nebo konkrétním implementačním technikám potřebným k realizaci cíle podnikové nebo bezpečnostní architektury.

Je třeba školení

Výcvik, aby se stal hlavním úředníkem pro bezpečnost informací, zahrnuje přípravu na četné certifikace a získání let příslušných zkušeností, nemluvě o správném vzdělání. Mezi nejlepší místa, kde lze získat informace o infosecu, patří Institut SANS, ISACA, (ISC) 2, Infosec Institute a EC-Council.

Mezi těmito webovými stránkami zaměřenými na infosec najdete spoustu vzdělávacích příležitostí pro ty, kteří je hledají, včetně školení vedeného instruktory, počítačových videí, knih, laboratoří a dalších materiálů, kromě školení na místě, osobního školení.

Stejně jako ostatní odborníci v oblasti IT musí pokračovat ve vzdělávání, aby drželi krok s novými nápady a strategiemi, musí se CISO držet krok s technologickými trendy a neustále se učit držet krok s technologickou křivkou.

CISO musí neustále rozdělovat svou pozornost mezi současný stav technologie infosec ve svém podniku a vznikající nebo špičkový vývoj v oboru infosec. Jedná se o delikátní rovnováhu, protože udržování vhodné pozice v zabezpečení je stále důležitější pro obchodní úspěch, ale přijetí nových platforem a technologií také zůstává životaschopnou metodou pro udržení nebo zvýšení konkurenční výhody organizace. Tato dichotomie nevyhnutelně staví obavy o bezpečnost nových nebo netříděných nástrojů nebo technologií proti konkurenční výhodě, kterou by mohly přinést. CISO je osoba, která se musí v konečném důsledku rozhodnout, zda rizika převažují nad možnými odměnami, které jsou s tím spojeny, nebo naopak.