Четыре шага к найму лучшего директора по информационной безопасности в мире Интернета вещей

Из всех новых технологических процессов, формирующих следующую волну цифровой трансформации, возможно, нет более заметного, чем Интернет вещей (IoT). Как Фил Селестини, старший вице-президент и главный специалист по безопасности и рискам Syniverse сообщает, что эта технология порождает новую экосистему взаимосвязанных сетей и транзакций данных, которая быстро расширяется и меняет наши представления о бизнесе.

Но часто упускается из виду, что Интернет вещей - это еще и Интернет общих служб и данных. Этот факт является одной из самых больших проблем для компаний, стремящихся интегрировать свой бизнес с IoT и в то же время обеспечить устранение векторов атак и связанных с ними рисков. Эти средства защиты включают в себя различные навыки и группы под руководством директора по информационной безопасности (CISO).

Фактически, с точки зрения риска, общедоступный Интернет никогда не создавался как безопасная среда. Она была задумана как сеть со встроенной избыточностью, чтобы ученые и исследователи могли обмениваться данными, а не защищать доступ к ним. Следовательно, это скорее сеть, требующая максимальных усилий, чем лучшая в своем классе сеть, необходимая для обеспечения конфиденциальности, целостности и доступности транзакций. Поскольку в основе Интернета вещей лежит возможность подключения, злонамеренная атака, нарушающая это подключение, может нанести беспрецедентный ущерб. Решающее значение имеет правильное руководство, которое поможет вашей команде информационной безопасности справиться с подобным хаосом.

Помня об этом, компании должны найти правильный баланс между безопасностью и использованием инноваций, чтобы воспользоваться преимуществами таких достижений, как Интернет вещей. Важнейшая часть этого начинается с выбора лучшего директора по информационной безопасности, что я и сделал несколько месяцев назад с большим успехом. Вот четыре фактора, которые я учел при оценке кандидатов на должность директора по информационной безопасности, основываясь на более чем 35-летнем опыте проведения операций с высоким риском и надзора за различными аспектами безопасности предприятий, ФБР, разведывательного сообщества и вооруженных сил.

4 фактора для найма директора по информационной безопасности

• Безопасность - в названии, но это не единственная работа: Безопасность следует рассматривать как услугу, которой нужно управлять как бизнес в рамках вашего бизнеса. Это означает, что директора по информационной безопасности должны понимать стратегию, бизнес-цели и риски своей компании, чтобы действительно приносить пользу. Кроме того, существуют контрольные показатели, передовой опыт и правила, которые будут определять, как должны быть защищены информационные технологии и данные. В этом отношении директора по информационной безопасности могут предоставить информацию о безопасности и рынке, которую группы продаж и маркетинга могут использовать для создания убедительной корпоративной истории о состоянии безопасности, чтобы выделить вашу компанию среди конкурентов.
• Директорам по информационной безопасности следует открыто общаться с руководителем: Культура безопасности поддерживается такими факторами, как согласованность организации и структура отчетности. Когда дело доходит до корпоративных рисков, директор по информационной безопасности должен как можно более непосредственно отчитываться перед руководителем. Различия будут зависеть от размера и зрелости организации, но чем ближе будет доступ к генеральному директору, тем менее «отфильтрованными» будут критические разговоры. Решения, основанные на рисках, которые необходимы руководителю директора по информационной безопасности (C-Suite), иногда могут быть трудными для доведения до высшего руководства, потому что эти решения будут влиять на другие заинтересованные стороны и редко происходят в вакууме.
• «Безопасность» расширилась: Двадцать лет назад было обычным делом работать в организации, где «безопасность» означала, что кто-то из ИТ-отдела управляет брандмауэром. Но динамика рынка и запросы потребителей с тех пор повлияли на то, как работают компании, и вызвали потребность в профессиональных сотрудниках по информационной безопасности. Сегодня внешние факторы, такие как нормативные акты, законодательные требования и требования клиентов, вызывают потребность в надежной системе безопасности, чтобы оставаться в бизнесе. Руководители по информационной безопасности должны быть вооружены этими знаниями и иметь правильный бюджет, чтобы они могли определять свою стратегию безопасности в реалистичном контексте финансов и целей своего бизнеса.
• Лучшие директора по информационной безопасности - это лучшие студенты: Директора по информационной безопасности должны быть технически квалифицированными, сильными лидерами и проницательными бизнес-менеджерами. Роль директора по информационной безопасности - это путешествие, и хорошие руководители по информационным технологиям должны учиться на протяжении всей жизни. Индустрия никогда не перестает развиваться вместе с технологиями, а это означает, что векторы угроз будут продолжать усложняться, как и законы о конфиденциальности данных и множество других внешних «влиятельных лиц» на роль директора по информационной безопасности. Это порождает постоянную потребность в поддержании и обновлении знаний, чтобы придерживаться надежных методов управления рисками.

Быстрый рост устройств и приложений IoT, зависящих от общедоступного Интернета, открывает новую эру подключения - и уязвимости. По мере того, как компании используют возможности этой эпохи, они рискуют оставить коммерческие данные и системы открытыми для публичного доступа в Интернет, не предназначенные для этой цели.

В конечном итоге компании, которые хотят вести бизнес и передавать данные с уверенностью, безопасностью и конфиденциальностью, должны иметь стратегию безопасности для защиты своих операций от общедоступного Интернета, и критически важной частью этой стратегии является поиск подходящего директора по информационной безопасности. Эти четыре фактора предлагают полезную основу для информирования об этом процессе.

Об авторе

Автор - Фил Селестини, старший вице-президент и главный специалист по безопасности и рискам Syniverse.