Anonim
„Gorodenkoff“/ „Shutterstock“

„C lygio vadovų“skaičius ir rūšis, nes žmonės, kurie didelėse korporacijose atsiskaito generaliniam direktoriui (generaliniam direktoriui), yra vadinami grupe, atrodo, kad vėlai auga. Vyriausiasis informacijos saugumo pareigūnas, arba CISO, yra C lygio vadovas, atsakingas už visos įmonės ar organizacijos informacijos saugumą.

CISO vaidmens supratimas

CISO batų pripildymas yra ne tik supratimas apie informacijos saugumą. Vykdomojoje komplektacijoje atlikti tuos C lygio darbus reiškia susieti konkrečius verslo ar technologijos aspektus su bendra vizija, kuri vadovauja ir vadovauja bet kuriai gerai valdomai organizacijai. Tai reiškia, kad CISO taip pat turi suprasti pagrindinę organizacijos viziją ir organizacijos strategiją, o tada imtis visų būtinų priemonių, kad įsitikintų, jog jos informacijos ištekliai ir technologijos yra tinkamai apsaugoti.

Taigi CISO darbas apima daugybę gyvybiškai svarbių žinių sričių, kurias jis (ji) privalo pamatyti įmonėje. Tai apima šiuos elementus:

  • Rizikos vertinimas, mažinimas ir vengimas - tai reiškia atlikti išsamų informacijos ir intelektinės nuosavybės bei kitų skaitmeninių vertybių kaupimą ir inventorizaciją, suvokti jiems kylančias grėsmes ir nuspręsti, kokių veiksmų imtis siekiant apsaugoti tą turtą nuo žalos, praradimo ar žalos. . Galiausiai tai taip pat įtraukiama į įmonės saugumo politiką, apibrėžiančią, kokie apsaugos ir reagavimo lygiai turėtų būti susieti su informacijos ištekliais ir skaitmeninėmis rinkmenomis.
  • Teisinių ir norminių aktų laikymasis - tai reiškia, kad reikia suprasti, kaip įmonės informaciniam turtui ir skaitmeninėms turimoms priemonėms taikomi galiojantys įstatymai ir kiti teisės aktai, ir laikytis susijusių reikalavimų, tokių kaip vertinimai, auditai, ataskaitų teikimas, privatumas, konfidencialumas ir kita. Tai taip pat reiškia norą ir galimybę prisiimti naštą tvarkant saugumo pažeidimus, taip pat galimų teisinių, verslo ir finansinių padarinių, susijusių su minėtu pažeidimu, vertinimą ir naikinimą.
  • Įmonių ir saugumo architektūra - formali IT disciplina, architektūra siekiama įsitikinti, kad technologijos įsigijimas ir naudojimas įgalina ir sustiprina organizacijos galimybes pasiekti verslo tikslus, pasiekti veiklos ir augimo tikslus ir išlikti konkurencingiems pasirinktose rinkose. Įmonių architektūra laikosi šios nuomonės visos infrastruktūros požiūriu, o saugumo architektūra - labiau susitelkusi ties įrankiais ir technologijomis, reikalingomis užtikrinant apsaugos rūšis ir lygius, kuriuos nurodo rizikos vertinimai ir atitikties reikalavimai.

Paprasčiausias būdas visa tai suprasti yra pripažinimas, kad CISO užduotis yra užtikrinti, kad organizacijos saugumo laikysena ir politika atitiktų verslo viziją; suteikti apsaugą ir paramą, reikalingą sėkmingai įgyvendinti; ir vadovaujančioms pastangoms sušvelninti ir atitaisyti po saugumo pažeidimų, privatumo ar reguliavimo panaikinimo ar kartais kylančių saugumo politikos nesėkmių.

CISO išsilavinimas

Kiekvienas asmuo, siekiantis C lygio darbo, privalo gauti bent jau bakalauro laipsnį ir, tikėtina, taip pat gauti vieną ar kelis magistro laipsnius. Daugelyje C lygio praktikų derinamas gilus bendrųjų verslo principų ir praktikos supratimas kartu su bet kuria sritimi, kurioje gali būti jų specialybės. Taigi gana tikėtina, kad CISO yra įgijusi MBA (verslo administravimo magistro laipsnį), taip pat labiau specializuotą į saugumą orientuoto magistro laipsnį informatikos ar kai kurių susijusių disciplinų.

Nacionalinių akademinės kompetencijos centrų globojami magistro laipsniai, Tėvynės saugumo departamento (VSD) ir Nacionalinės saugumo agentūros (NSA) bendradarbiavimas, siekiant skatinti kvalifikuotų kibernetinio saugumo specialistų tobulėjimą, suteikia gerą potencialo rinkinį. tokių programų pavyzdžiai.

IT sertifikatai

Yra daug informacijos saugumo sertifikatų, kurie gali būti vertingi ir naudingi siekiantiems CISO. Ieškokite senesnių informacijos saugumo (infosec) kredencialų, tokių kaip:

  • Sertifikuotas informacijos saugumo vadovas (CISM)
  • Įžeidžiantis saugumo sertifikuotas profesionalas (OSCP)
  • Sertifikuotas informacinių sistemų saugumo profesionalas (CISSP)

Be to, mes primygtinai rekomenduojame, kad siekiančios CISO pelnytų ISACA sertifikatą, išduotą vadovaujant įmonės IT valdymui (CGEIT). Taip yra todėl, kad šis įgaliojimas sutelktas į tai, kaip individas supranta ir taiko įmonės IT valdymo principus ir praktiką. Toks dėmesys yra svarbus komponentas užtikrinant, kad įmonė žino ir laikosi visų galiojančių įstatymų ir kitų teisės aktų, ypač susijusių su informacijos saugumu.

Darbo patirtis

C lygio vykdomasis pasaulis orientuojasi į verslą ir kai kurias kitas technines sritis. CISO - tai informacijos saugumas. Labiausiai trokštančios CISO atitenka įmonės informacijos saugumo operacijų vaidmeniui, paprastai tokiam, kuris apima tiek techninio eksperto, tiek atskiro bendraautoriaus pareigas, taip pat įvairias laipsniškai atsakingas vadovo pareigas (vadovas, direktorius, viceprezidentas ir pan.). Svarbus šios darbo patirties dalykas yra tai, kad jis rodo gilų ir tvirtą susidomėjimą bei kompetenciją informacijos saugumo tema kartu su realiu supratimu, kaip kurti, įgyvendinti, prižiūrėti ir vykdyti saugumo politiką verslo kontekste.

Svarbus dalykas, susijęs su ankstesne patirtimi siekiant žvaigždžių (ar bet kokiu atveju C lygio darbu), yra tai, kad ji yra tinkama ir praktiška. Tai reiškia, kad norėsite šiek tiek laiko skirti vienai ar kelioms pozicijoms, kuriose turite priimti arba įgyvendinti, tada suformuluoti saugos politiką.

Taip pat svarbu turėti tam tikros reagavimo į incidentus strategijų ir saugumo taisymo patirties įvykus pažeidimui, įsilaužimui ar kitokiam „įsilaužimo išpuoliui“. Darbas atliekant daugybę norminių ir (arba) teisinių taisyklių laikymosi pratybų, įskaitant saugumo auditus, tyrimus ir net teisinius veiksmus, taip pat padės jums suprasti niekingą, šios darbo dalies detalę.

Atsižvelgiant į didėjantį grėsmių ir išnaudojimų skaičių šiandienos saugumo aplinkoje, svarbu ugdyti „ne tada, bet ir tada“požiūrį į būsimus saugumo įvykius. Jei esate pasirengęs susidoroti su tokiais iššūkiais, jūs daug labiau linkę parodyti aukštesniajai vadovybei, kad galite atlikti CISO darbą su įgudžiu, elanu ir dispečeriniu.

Bet kuriam C lygio vadovui būtini stiprūs bendravimo žodžiu ir raštu įgūdžiai. Tokie vadovai turi būti patogūs ir įgudę kreiptis į savo kolegas, taip pat kalbėtis su dideliu darbuotojų, akcininkų ar investuotojų ar saugumo specialistų skaičiumi (galbūt įmonės ekspozicijos ar tam tikro pramonės prekybos renginio kontekste).

Kaip aukštesnio lygio vadovai, C lygio vadovai turi suprasti politinius aspektus ir žmonių srautus bei idėjas ir žinoti, kaip įtikinti suinteresuotuosius subjektus ir kolegas vadovus priimti ar suprasti tam tikrus požiūrius ar konkrečius įgyvendinimo būdus, reikalingus realizuoti. įmonės ar saugumo architektūros tikslai.

Reikia mokymo

Mokymas tapti vyriausiuoju informacijos saugumo pareigūnu apima pasiruošimą daugybei pažymėjimų ir ilgametės atitinkamos patirties įgijimą, jau nekalbant apie tinkamą išsilavinimą. Tarp geriausių vietų „infosec“žinioms gauti yra SANS institutas, ISACA, (ISC) 2, „Infosec“institutas ir EB taryba.

Tarp šių „infosec“svetainių rasite daugybę mokymo galimybių tiems, kurie jų ieško, įskaitant instruktoriaus organizuotus mokymus, kompiuterinius vaizdo įrašus, knygas, laboratorijas ir kitą medžiagą, be to, kad mokomi vietoje.

Kaip ir kiti IT specialistai, siekdami neatsilikti nuo naujų idėjų ir strategijų, privalo tęsti tęstinį išsilavinimą, CISO turi neatsilikti nuo technologijų tendencijų ir nuolat mokytis neatsilikti nuo technologijos kreivės.

CISO turi nuolatos skirstyti savo dėmesį tarp dabartinės „infosec“technologijos būklės savo įmonėje ir kylančių ar pažangiausių pokyčių „infosec“srityje. Tai subtilus balansavimo veiksmas, nes tinkamos saugumo laikysenos laikymasis tampa vis svarbesnio verslo sėkmės būtinybe, tačiau naujų platformų ir technologijų pritaikymas taip pat išlieka perspektyviu metodu palaikyti ar padidinti organizacijos konkurencinį pranašumą. Ši dichotomija neišvengiamai kelia susirūpinimą dėl naujų ar neišbandytų įrankių ar technologijų saugumo, palyginti su konkurenciniu pranašumu, kurį jie gali suteikti. CISO yra asmuo, kuris galiausiai turi nuspręsti, ar rizika nusveria galimą teikiamą naudą, ar atvirkščiai.