CISO Compliance Skills Dilemma
Finns det en allmän brist på personer med den kompetens som krävs för att kliva in i rollen som CISO? Med tekniker som inte kan engagera sig i styrelse- och ledningstyper som inte tas på allvar av teknikerna? Hur är det med de färdigheter som behöver efterlevnad och reglering? Är de också en bristvara? Dan Raywood utvärderar problemet.
Frågan om kompetensgapet har länge diskuterats, särskilt med relevans för dem som är lämpade att ta på sig CISO:s ansvar.
Förutom förtroendet att tala och rapportera till styrelsen, finns det överväganden om huruvida CISO bör vara tekniskt kunnig och vara medveten om hur försvaren fungerar och konfigurationer, samt att de kan sprida säkerhetsmedvetenhet och hantera risk i hela organisationen.
Om det låter som mycket att sitta på en persons tallrik, överväg efterlevnadselementet. Ja, Governance, Risk and Compliance (GRC) är hörnstenarna i ett företags säkerhetsplan, men hur mycket tar efterlevnad hänsyn till CISO:s kompetens, och är det en ny kompetensbrist på efterlevnadsramverk och regelverk för framtida CISO?
In forskning Jag dirigerade för Infosecurity Magazine 2019, jag engagerade mig med studenter, personer på praktik och de som börjar sina karriärer inom cybersäkerhet. I det fallet frågade jag de vi tillfrågade om de visste vad GDPR, PCI DSS och PSD2 var och hur de skilde sig åt. Vi fick 54 svar, varav 35 var positiva och 19 var negativa.
Dessa särskilda regler har haft stor uppmärksamhet, och konceptet med GDPR borde inte ha undgått den vanlige människan på gatan, men ur ett säkerhetsledarperspektiv, är det uppenbart vad som behöver göras för att fylla denna lucka, och finns det en kunskapslucka om att tillgodose efterlevnadsbehov?
Brian Honan, VD för BH Consulting, tror att det finns en brist på erfarna personer tillgängliga som CISO:er. Med trycket på organisationer att visa att de tar "säkerhet på allvar" utses många människor till CISO-rollen som kanske inte är lämpade för den.
"Många oerfarna CISO:er tenderar att fokusera på de tekniska aspekterna av sin funktion eftersom det ofta är där de känner sig mest bekväma; dock kanske de inte har erfarenhet av cyberriskhantering, policyutveckling och implementering eller att utveckla ett effektivt medvetenhetsprogram”, säger han.
En annan fråga som CISO:er ofta brottas med är att fokusera efterlevnadsprogrammet på bara säkerheten eller IT-funktionen inom en organisation, hävdar Honan, eftersom "i många fall gäller ett efterlevnadsprogram för hela organisationen och inte bara dessa funktioner."
Att förstå och implementera efterlevnad är mer än att bara passa in det i ditt säkerhetsteam och försvarslager utan också i den bredare organisationen.
"Den andra frågan jag ofta ser med regelefterlevnadskrav som GDPR eller UK Data Protection Act är att många CISO:er bara fokuserar på säkerhetselementet i dessa regler som leder till att organisationen inte är helt kompatibel", säger han.
Rowenna Fielding, chef för Miss IG Geek Ltd, säger från sina engagemang med kunder och andra inom säkerhetsbranschen, "Jag kan definitivt säga att det finns betydande luckor när det gäller GDPR". I synnerhet, säger hon, "larmgivande få säkerhetspersoner har en robust förståelse av vad "personuppgifter" faktiskt betyder (de flesta förväxlar det med PII)" i ett försök som "undergräver varje GDPR-efterlevnadsaktivitet de är inblandade i, genom att sätta omfattningen för smal från början.”
På frågan om varför deras arbetsgivare inte kommer att investera i effektiv, meningsfull utbildning för att uppfylla efterlevnadskraven, säger Fielding att det ofta ses som att det kostar för mycket, "och att ha fritiden och pengarna för att söka utbildning på individuell basis är en lyx."
Hon säger att en utmaning är att det ofta finns för mycket produktmarknadsföring som lovar försäkringar om att uppnå efterlevnad, eftersom "efterlevnadsmänniskor söker desperat efter "lösningar" (inklusive outsourcing) som de hoppas ska avlasta en del av jobbets enorma kognitiva belastning, men de " lösningarna själva kräver fortfarande en hel del mänsklig ansträngning för att sätta upp, övervaka, kontrollera, anpassa och upprätthålla sina funktioner – utöver alla nya risker som lösningarna själva innebär.”
Owanate Bestman är grundaren av cybersäkerhetsresursföretaget Bestman Solutions, och frågade om han känner att det finns en kompetensbrist på detta område, säger han att det inte är det, eftersom det ofta finns för många anlitande företag som "söker efter enhörningar för att slå CISO-titeln på” när verksamheten verkligen letar efter någon att göra GRC och arbeta med tillsynsmyndigheter.
Om det finns en brist på personer som behövs för att uppfylla kraven i regelefterlevnad och regelverk måste man ta hänsyn till risken för att rollerna lämnas obesatta. Om någon inte tar ansvar på högre nivå, finns det då en risk att det lämnas ogjort?
Honan säger att det finns ett problem med att CISO:er avfärdar ramverk, standarder och till och med juridiska skyldigheter som en onödig overhead som inte kommer att "göra dem säkrare" eller ens citera argumentet att "policyer inte kommer att stoppa en hackare".
"Vad de ofta saknas är att de krav som beskrivs i lagar och ramverk är till för att ge ett strukturerat förhållningssätt till säkerhet och för att säkerställa affärsengagemang för bättre säkerhet", säger han. "En bra CISO kommer att förstå hur ramverk, standarder och juridiska skyldigheter kan hjälpa till att minska riskerna för verksamheten samtidigt som de får resurser de behöver för att säkra organisationerna bättre."
Alternativen för att lära sig vad som behövs för att möjliggöra efterlevnad i en organisation finns där ute, men de förebyggande delarna är kostnad och tid snarare än en fullständig brist på kompetens. "Jag tror inte att det finns en brist på skicklighet där ute, men det finns definitivt ett ohanterligt förhållande mellan tillgänglig hjärnkraft och uppgiftsefterfrågan." Fielding håller med och säger att människor har allt de behöver för efterlevnad utom tid och energi för att tillämpa dem effektivt.
