As abordagens de baixo para cima estão pressionando há 20 anos em torno da segurança cibernética, simplesmente falhou
Eu acho que é hora de aceitar que o papel do CISO, em sua construção histórico, nunca nasceu de uma decisão de gerenciamento positiva e proativa.
Foi muito raramente criado – a princípio – em resposta à verdadeira realização da gerência sênior da necessidade de proteger os negócios contra ameaças reais e ativas.
A iteração original do papel, no final dos anos 90 para os primeiros adotantes, pertence àquela primeira década de Infosec, que foi totalmente dominada por considerações de risco e conformidade: a Fundação de Pesquisa de Transformação de Segurança estabeleceu isso claramente através de sua Análise semântica de 2019 do conteúdo de 17 relatórios anuais de segurança global da EY.
A segurança da informação foi simplesmente vista pelos executivos seniores como um ato de equilíbrio constante entre conformidade regulatória, apetite por risco e – acima de tudo – custos.
O papel do CISO apareceu nesse contexto, na melhor das hipóteses, em resposta às observações de auditoria ou regulamentação, na pior das hipóteses, em sua imposição e quase como um mal necessário em alguns casos.
Obviamente, o papel evoluiu desde então, mas uma geração inteira de profissionais de segurança foi presa em uma mentalidade de baixo para cima, sempre em busca de maneiras de justificar sua legitimidade em relação aos negócios.
Isso é amplamente demonstrado pelo debate interminável em torno do CISO linha de relatórioe, em particular, a obsessão de alguns com um relatório no nível da diretoria, ou a evolução do papel em algumas empresas em relação ao risco de TI ou em construções de risco de informação, anexadas a uma função mais ampla de risco ou risco operacional.
Geralmente, esses movimentos, todos bem-intencionados e visavam ampliar a aceitação das medidas de segurança necessárias em toda a empresa, raramente funcionaram em grande parte.
Ao longo de duas décadas, essas abordagens de baixo para cima colidiram com as práticas endêmicas de curto prazo corporativas e de governança corporativa disfuncionais e não conseguiram fornecer níveis essenciais de boas práticas e proteger contra ameaças em constante evolução, como demonstrado pela interminável série de ataques cibernéticos que estamos testemunhando hoje.
Tudo isso deixou muitos cis frustrados e está alimentando seus Possuir curtocurta posse que-por si só-tornou-se a causa raiz da estagnação a longo prazo da maturidade da segurança cibernética em muitas empresas.
Mas agora, além disso, a agenda está mudando no nível da diretoria. Os ataques cibernéticos são cada vez mais vistos como uma questão de “quando”, não “se”, enfraquecendo todas as linhas de discussões que tentaram ao longo dos anos-de baixo para cima-falar sobre segurança cibernética em termos de risco e aproximá-lo das práticas de risco corporativo em uma busca por legitimidade.
O risco é sobre coisas que podem ou não acontecer; Pode ser aceito, transferido, mitigado.
O “Quando não-seParadigma em torno de ataques cibernéticos empurra o debate para uma dimensão diferente.
E muitos CISOs não estão realmente preparados quando o diálogo com os principais executivos muda da noite para o dia de “Por que precisamos fazer isso?” para “Quanto precisamos gastar?”.
Não se trata mais de “convencê -los” sobre um suposto “Investimento de retorno na segurança”, Mas sobre fazer as coisas e fazê -las agora.
Mas muitos CISOs, mudando de emprego a cada 2 anos, não aprenderam a fazer as coisas em grandes empresas; Eles não desenvolveram a perspicácia política e a experiência de gestão de que precisariam.
Muitos simplesmente permaneceram tecnólogos e bombeiros, presos em uma mentalidade cada vez mais obsoleta, empurrando de baixo para cima uma narrativa baseada em ferramentas, baseada em risco e baseada em tecnologia, desconectada do que o conselho deseja ouvir que agora mudou para resiliência e execução.
É por isso que podemos ter que chegar ao ponto em que temos que aceitar que a construção em torno do papel do CISO, como foi iniciado no final dos anos 90, tem serviu seu propósito e precisa evoluir.
O primeiro passo nessa evolução, na minha opinião, é que o conselho possua a segurança cibernética como um problema de negócios, não como um problema de tecnologia.
Ele precisa ser de propriedade no nível do conselho em termos de negóciosde acordo com a maneira como outros tópicos pertencem ao nível da diretoria. Trata -se de pensar na proteção dos negócios em termos de negócios, não em termos tecnológicos.
A cibersegurança não é uma questão puramente tecnológica; nunca foi e não pode ser. A proteção bem -sucedida dos negócios contra ameaças cibernéticas exige alcançar os silos corporativos, incluindo, é claro, mas também funções de negócios e apoio e geografias.
Pode haver uma necessidade de amalgamá-lo com outros assuntos, como resiliência corporativa, continuidade dos negócios ou privacidade de dados para criar um portfólio de nível de placa adequado, mas para mim esse é o caminho a seguir para reverter a dinâmica de longo prazo, longe das construções históricas fracassadas, para uma abordagem de de cima para baixo.
Refuto a ideia de que os membros do conselho não teriam as habilidades necessárias para impulsionar um engajamento de cima para baixo em torno de um assunto tão específico quanto a segurança cibernética.
Para mim, isso é apenas um remanescente e a última linha de defesa do espírito de baixo para cima focado em tecnologia que está dominando há mais de duas décadas.
Os membros do conselho podem não ter as habilidades para impulsionar um envolvimento de cima para baixo na maneira como os compromissos de baixo para cima foram enquadrados nos últimos 20 anos, mas isso não significa que eles não seriam capazes de compreender o assunto, possuí-lo e conduzi-lo em seu nível e em seus próprios termos-possivelmente com alguma assistência externa.
A dura realidade é que as abordagens de baixo para cima focadas na tecnologia que a maioria tem pressionada há 20 anos em torno da segurança cibernética não funcionou.
É simplesmente hora de tentar outra coisa.
Sobre o autor
JC Gaillard é o autor de “O manual de liderança de segurança cibernética para o CISO e o CEO” e “A espiral da falha da segurança cibernética“; Corix Partners e membro do Instituto Chartered de Segurança da Informação do Reino Unido.