- Annonser -
  • Digital säkerhet
  • Traditionell säkerhet
  • I FOKUS
  • Nyhetsbrev

De bästa tipsen för en framgångsrik CISO

När du har arbetat i mer än två decennier som CISO, blir det en självklarhet att lyssna efter de bästa råden och lärdomarna från sina kollegor. Steve Cottrell, CTO EMEA på Vectra delar med sig av det han lärt sig efter att ha konfererat med säkerhetschefer från både när och fjärran.

-

CISO:s måste vara djärva nog att lämna sitt gamla säkerhetstänk
Våra angripare blir mer organiserade – justerar ständigt attackvektorer, studerar allmänt använda säkerhetsinstruktioner och testar sina attacker mot föråldrade säkerhetsverktyg. Trots detta agerar 90 % av alla CISO:s idag som om inget har hänt, de klamrar sig fast vid sitt gamla säkerhetstänk och förlitar sig på äldre teknologier som IDPS (Intrusion, Detection and Prevention Systems).

Men de gamla sätten fungerar inte, så våra CISO:s måste vara modiga, kasta sitt gamla säkerhetstänk åt sidan och skippa ineffektivt arbete. De måste initiera ett hotstyrt tillvägagångssätt och ersätta äldre verktyg med lösningar som passar bättre med datacentrerade säkerhetsmodeller för att få bättre valuta för pengarna totalt sett. Till exempel kan ett statiskt signaturbaserat system som ger upphov till tusentals kontextlösa larm ersättas med en lösning som använder beteendecentrerade tillvägagångssätt som stöds av AI och Machine Learning för att upptäcka de mest riskabla beteendena och presentera dem för ditt team.

Ditt ISO-certifikat kommer inte att rädda dig från intrång!
Att nå en viss nivå av compliance ger ett tydligt tecken på framsteg för styrelsen i en notoriskt svårmätbar disciplin. Men sanningen är att du kan spendera år på att implementera alla 114 av ISO 27001:s kontroller, och en beslutsam angripare kan ändå kringgå ditt försvar på några timmar.

I stället måste tillvägagångssätten vara HOT-styrda, identifiera organisationens mest värdefulla tillgångar, vem som sannolikt kommer att försöka göra intrång där och prioritera aktiviteter för att mildra de identifierade riskerna. CISO:s bör mäta säkerhetsinsatserna baserat på deras förmåga att upptäcka om de har överträtts, med hjälp av meningsfulla mätvärden som snitttiden för ett intrång vid testning av säkerheten eller snittiden för att upptäcka hot. Sedan kan CISO:s arbeta för att få ner dessa siffror till en överenskommen acceptabel nivå.

På ditt nästa styrelsemöte, låt compliance-siffrorna finnas i fotnoten och fokusera på de hot som din organisation står inför och de risker som uppstår som ett resultat.

Agil IT är inte alltid svaret
Inom mjukvaruutveckling kan den agila metoden ”förflytta sig snabbt, misslyckas snabbt” hjälpa team att snabba upp lanseringstider och ta bort hinder, särskilt i små organisationer och team. Men metoden är svår att skala upp eller ner och fungerar inte alltid i alla situationer för säkerhetsavdelningarna – särskilt när team försöker kringgå säkerhet och företagsstyrning för att uppfylla sina leveransmål. Man bör vara noga med att välja den bästa och lämpliga leveransmekanismen för uppgiften, eftersom den inte alltid kommer att vara agil.

Att ha ett mycket tydligt tillvägagångssätt för förvaltningen med lämpliga ”skyddsräcken”, att välja bra verktyg för att automatisera säkerhetstestning och där det är möjligt att köra regelbundna intrångstester från så kallade red-teams hjälper till att maximera chanserna till framgång. CISO:s behöver verktyg som noggrant kan övervaka miljöer, misstag och felkonfigurationer för att effektivt minska riskerna. Den bredare verksamheten måste inse att en produkt inte är komplett förrän alla relevanta säkerhetsfunktionskrav är uppfyllda, ”Säkerhet” är inte bara godkännandet som en av de sista uppgifterna i sprinten. Kom ihåg att du kan säga nej om riskerna inte kan kvantifieras, eller helt klart faller utanför det din styrelse ser som acceptabel risk.

Sårbarhetsskanning räcker inte
Att arrangera ett årligt penetrationstest av dina system är inte detsamma som ett omfattande intrångssystem av så kallade red-team. Oavsett mognad måste varje CISO kunna erbjuda en tydlig bild av hur deras säkerhet verkligen håller emot hackarens taktik, teknik och tillvägagångssätt.

Detta innebär att man genomför en hot-fokuserande red-team-övning, som tar hänsyn till flera scenarier som ofta används av riktiga angripare och omfattar människor, processer och teknik. Att använda sig av Red-Teams kommer att erbjuda en avsevärt bättre insikt i hur cyberkriminella kan försöka identifiera och utnyttja de svagaste länkarna i kedjan för att uppnå sina mål (t.ex. exfiltrering av kunddata). Det gör det möjligt för organisationen att förbättra sitt försvar stegvis, genom att adressera den enklaste men mest troliga vägen in i organisationen ur angriparens perspektiv.

Med kunskapen från en red-team-övning kan en CISO prioritera förbättringsprogram för att agera effektivt mot verkliga risker, upptäcka luckor som annars skulle missas i ett vanligt penetrationstest.

Enbart fokus på tekniska färdigheter håller CISO:er tillbaka
CISO-rollen är relativt ny jämfört med många andra ledarroller, eftersom rollen aldrig har definierats tydligt och varje CISO fungerar på olika sätt. De flesta kommer dock från en mycket teknisk bakgrund och har anställt kloner av sig själva i flera år. För att få största möjliga inverkan på en organisation måste CISO:s utveckla fler mjuka färdigheter som kommunikation med intressenter och affärsmannaskap. Om inte, kommer de att sitta fast i sin enhet och hållas utanför styrelserummet i ytterligare decennier.

Eftersom varje roll varierar bör CISO:s överväga detta när de ansöker om rollen eller kommer överens om jobbspecifikationen, och se till att de kan påverka sin organisation positivt innan de tar anställning. Detta innebär att se till att rollen övervakar tekniska uppgifter men inte nödvändigtvis behöver utföra dem, förstå hur viktig säkerhet är i den övergripande affärsstrategin, bedöma säkerhetsprogrammets mognad och se till att du har inköpskontroll. Utan inköpskontroll blir det svårt att byta ut gamla verktyg mot lösningar som hjälper till att driva automatisering och minska manuella ansträngningar.

CISO:s och deras team måste erbjuda service med ett leende
Som säkerhetsproffs är vi inte kända för att vara lättsinnade på kontoret. Det är sant att vi ofta avvärjer allvarliga incidenter med potentiellt djupgående konsekvenser för organisationen och våra karriärmöjligheter. Men våra relationer med andra kännetecknas vanligtvis som en typ av polisarbete och verkställighet snarare än engagemang och stöd. Detta måste förändras.

CISO:s borde få sina team att bygga starka relationer med personer i organisationen, förstå de tekniska processerna tillräckligt väl för att erbjuda rätt verktyg till rätt personer vid rätt tidpunkt. Faktum är att de kommer att bli mer som interna säljare eller säkerhetsevangelister än revisorer, vilket får alla att acceptera säkerhetsprogrammet och bli mer mottagliga för utbildning och nödvändiga säkerhetskontroller.

Små segrar, stor påverkan

Steve Cottrell, CTO EMEA, Vectra

I dagens hotlandskap – där moln och distansarbete komplicerar IT-landskapet och cyberbrottslingar samtidigt blir mer målinriktade i sina tillvägagångssätt – står säkerhetscheferna inför fler hinder än någonsin.

Men en sak förblir densamma. För att trivas måste CISO:er förstå var deras viktigaste utmaningar ligger och hur man kan övervinna dem.

- Annons -
- Annons -

FLER NYHETER

Mat är tema för årets Krisberedskapsvecka

– Kriget i Ukraina, torka och energibrist påverkar produktionen av livsmedel, och det har ökat intresset för hemberedskap. Att fler stärker sin hemberedskap är...

Great Security förvärvar Wasa Larm

– Wasa Larm är ett mycket välskött bolag med nöjda kunder och stabila intäkter. Bolaget verkar i ett marknadssegment som Great Security ser som...
- Annons -

DataCore i samarbete med Symply för säker arkivering av media

Den plattform man tillsammans tagit fram, Symply Perifery, bygger på DataCores objektlagringsplattform, Perifery, som är designad för applience- och edge-enheter.Symply Perifery tillhandahåller organisationer inom...

Seriline har anställt ny försäljningschef

– Vi förstärker säljorganisationen ytterligare. I mitten av september började Christian Winqvist som försäljningschef hos oss på Seriline. Christian har mångårig erfarenhet från branschen och...

IT-Total säkrar drift och infrastruktur åt SIS

– Det känns extra kul att få ingå partnerskap med SIS som vi uppfattar har genomfört en väldigt professionell upphandlingsprocess där inget lämnats åt...
- Annons -

Coromatic bygger datacenter åt techbolaget Shibuya

– Med det nya datacentret fullt utbyggt fyrdubblar vi vår kapacitet och tar höjd för att kunna expandera. Vi ser stor efterfrågan på trygga...

Securitas och Sensormatic förlänger avtal

– Den här typen av samarbeten, som sträcker sig under en längre tid, ger en god möjlighet att samverka på djupet och ständigt öka...

Ett samlat grepp om data är avgörande för att förebygga bedrägerier

Internationellt förs just nu diskussioner om hur banker och leverantörer av betaltjänster ska kunna stoppa bedragare som utnyttjar finansaktörernas digitala tjänster. I Sverige har...

Kronan Säkerhet nyrekryterar

Patrik Ripadal har de senaste 25 åren arbetat med att leda, utveckla och systematisera säkerhet och riskarbete inom den privata sektorn. Han har innehaft...

Nytt stöd till kommuner och civilsamhälle ska skapa samhällsnytta med hjälp av AI

– Med hjälp av AI kan vi utveckla den gemensamma välfärden på nya sätt och effektivare tackla stora samhällsutmaningar. Det är centralt att Sveriges...

Anna Sjöberg, operativ chef vid Säkerhetspolisen inleder Säkerhetsgalan

Hallå där Anna Sjöberg, operativ chef vid Säkerhetspolisen, du inledningstalar på Säkerhetsgalan. Vad kommer du beröra i ditt tal?- Att beskriva hur Sveriges säkerhet...

Ny standard för bättre offentlig upphandling

– Det här är en viktig standard som bidrar till att skapa förtroende för den offentliga affären och att förhindra korruption. Det räcker inte...

Nätverket Femme Defence firar fem år

Femme Defence startades 2017 av Louise Ask Holmbergm, Moa Linjer, Maja Norrman, Stina Gardell och Louisa Rabaeus som då alla studerade vid Försvarshögskolan. Nu...

STUDIE: Småföretagare inte tillräckligt rustade mot digitala brott

Svenska företagare har för fjärde året i rad fått ranka sin digitala mognad i TDI, Telias digitala Index och den visar att den digitala...
- Annons -