3 Fragen, die sich ganz CISOs stellen sollten

Die jüngste Verurteilung von Joe Sullivan, Chief Information Security Officer (CISO) von Uber, weil er die Datenschutzverletzung des Unternehmens im Jahr 2016 nicht gemeldet hatte, kam zu Händen manche denn unwillkommene unerwartetes Ereignis und zu Händen andere denn berechtigte Konsequenz von Mr. Sullivans Handlungen.

Qua CISO-Kollege und Sprossenstiege dieser Informationssicherheit seitdem hoch 30 Jahren respektiere ich Sullivans bemerkenswerte Karriere und unterstütze taktgesteuert voll und ganz dasjenige Urteil. Sullivan befand sich in einem ethischen Dilemma, in dem sich die meisten CISOs früher oder später Ergehen. Wie ein CISO entscheidet, mit diesem Dilemma umzugehen, kann seine Karriere entscheiden oder entkräften.

Welche Aufgaben hat ein CISO?

Die Rolle und Verantwortlichkeiten des CISO gedeihen sich ständig weiter und werden dank dieser wachsenden Publizität um große Verstöße, wie sie im Zusammenhang Uber zu beobachten sind, noch genauer untersucht.

Zu Händen CISOs, die bedenken, welches solche jüngsten Ereignisse zu Händen sie bedeuten, ist dies ein geeigneter Zeitpunkt, um drei wichtige Fragen zu stellen.

1) Welche Verantwortung habe ich denn CISO im Zusammenhang einer Datenschutzverletzung?

Unter ferner liefen wenn dieser Uber-Prozess die Rolle des CISO notfalls stärker in den Hauptaugenmerk gerückt hat, glaube ich nicht, dass er die mit dieser Rolle verbundene Verantwortung oder Haftung ändert. Wenn ein Verstoß auftritt, ist die Verantwortung des CISO lukulent: Seien Sie transparent und stellen Sie ganz erforderlichen Offenlegungen fertig. Manchmal werden solche Offenlegungen von Aufsichtsbehörden vorgeschrieben, und manchmal werden sie nur denn verantwortungsvolle Offenlegung des Unternehmens im Unterschied zu seinen Auftraggebern geschätzt.

meine Wenigkeit weiß nicht, ob Sullivans erste Reaktion darin bestand, die richtigen Maßnahmen zu ergreifen und den Verstoß wie gesetzlich vorgeschrieben zu melden. In Anbetracht seiner langen Karriere hoffe ich natürlich, dass dies dieser Kernpunkt war. Gebunden von dieser Berichtsstruktur intrinsisch des Unternehmens nach sich ziehen viele CISOs jedoch notfalls nicht dasjenige letzte Wort darüber, ob dasjenige Unternehmen den Verstoß offenlegt. Wie es oft dieser Kernpunkt ist, kann dieser CISO außer Macht gesetzt und unter Kompression gesetzt werden, zusammenführen Weg zu finden, den Verstoß denn irgendwas anderes denn zusammenführen Verstoß umzugestalten. Solche Neuorientierung kann dem Unternehmen helfen, potenzielle negative Hinterher gehen zu vermeiden, einschließlich behördlicher Bußgelder, Abhilfekosten (z. B. Versorgung von Kreditüberwachungsdiensten zu Händen betroffene Kunden) und Auswirkungen aufwärts dasjenige Kundenvertrauen und den Ruf des Unternehmens.

Ein Verstoß wird zu Recht denn Versäumnis des Unternehmens geschätzt, die verletzten Fakten zu schützen. Es kann letztlich beiläufig denn Versagen des CISO geschätzt werden. Dasjenige wirft die uralten Fragen aufwärts: Wo hört dieser Töff aufwärts? Und wer trägt die letztendliche Verantwortung zu Händen den Verstoß? Unabhängig davon ist es zu Händen ein Unternehmen nicht problemlos, dies zuzugeben oder offenzulegen.

Dasjenige ethische Dilemma des CISO ist: Bewahre ich die Unbescholtenheit meiner Rolle und komme ich meiner Verantwortung nachher? Oder versuche ich, den Zwischenfall so umzugestalten, dass mein Unternehmen nicht die Hinterher gehen trägt?

meine Wenigkeit würde gerne Vertrauen schenken, dass ich an Sullivans Stelle praktisch fertig wäre, mein Verwaltungsgemeinschaft niederzulegen, denn die Unbescholtenheit meiner Rolle und ungeschützt gesagt dasjenige Vertrauen meiner Wähler zu misshandeln. Um es mit den Worten von US-Vorsitzender Harry Sulfur. Truman zu sagen: „Dasjenige Geld zu Händen die Cybersicherheit hört beim CISO aufwärts.“

2) Welches ist dieser Plan meines Unternehmens, wenn (nicht wenn) wir zerschunden werden?

Qua CISO eines Sicherheitsanbieters kenne ich die Motivation und Entschlossenheit von schlechten Akteuren und Nationalstaaten nur zu gut. meine Wenigkeit verstehe beiläufig die Entwicklungsmöglichkeiten, denen Unternehmen ausgesetzt sind, Todesopfer eines Angriffs zu werden – Unternehmen sollen davon zu Ende gehen, dass sie zerschunden werden. Welches werden Sie tun, wenn dasjenige passiert?

Dasjenige Bewältigen von Worst-Case-Szenarien und dasjenige Bewilligen eines Notfallplans, vor es zu einem Verstoß kommt, kann die finanziellen und betrieblichen Hinterher gehen minimieren, wenn Sie dies tun. Wie hoch sind die Wert zu Händen Ausfallzeiten, wenn ein Angreifer Ihren Kundensupport oder Lieferkettenbetrieb offline nimmt? Wo sind Ihre Systeme am anfälligsten? Wie begrenzen Sie den Schaden und wie schnell können Sie sich rekonvaleszieren? Wie teilen Sie Ihren Mitarbeitern, Kunden und dem Vorstand mit, welches passiert ist?

Jener Geschäftsführer und andere Unternehmensleiter sollen proaktiv mit dem CISO zusammenarbeiten, um solche Fragen zu beantworten und zusammenführen umfassenden Plan zu gedeihen, dieser fertig ist, wenn ein Verstoß auftritt. Sofortiges Handeln – und Offenheit – zählen vor allem. Nur ein solcher Plan wird nur dann siegreich sein, wenn er stark im Vorn erstellt, überprüft und geprobt wurde.

3) Welche Rolle habe ich im Vorstand?

Die widerstandsfähigsten Unternehmen verpflichten sich zur Sicherheit an dieser Spitze und treiben sie nachher unten durch ganz Ebenen dieser Organisation. Dasjenige bedeutet, sowohl im Vorstand denn beiläufig im Zusammenhang den Mitarbeitern eine starke Cybersicherheitskultur zu etablieren. Viele CISOs sollen sich notfalls mit den Vorurteilen von Vorständen auseinandersetzen, die sagen: „Dasjenige wird uns nie vorbeigehen“ oder „Dasjenige wird sowieso vorbeigehen, warum darob in Cybersicherheit investieren?“.

Verwalten Sie die CISO-Konnex wie eine Partnerschaft

Eine Möglichkeit zu Händen CISOs, ihre Konnex zum Vorstand zu verbessern, besteht darin, denn Kommandostand zwischen Technologie und Laden zu fungieren. Wir sollen dem Vorstand zeigen, dass wir Cybersicherheit denn Geschäftsrisiko verwalten und uns an Leistung, Wertzuwachs und anderen Geschäftszielen dieser Organisation eichen. Verbannen Sie darauf, Geschäftsbegriffe und -ergebnisse zu verwenden, nicht nur technische Akronyme und Konzepte. Helfen Sie mit, die Frage „Warum sollte mich dasjenige interessieren?“ zu beantworten. Und wenn es Ihnen gelingt, Ressourcen vom Vorstand zu erhalten, ist es wichtig, zusammenführen Depesche zu erstellen, dieser die von Ihnen angeforderten Ressourcen mit den darauf folgenden Geschäftsergebnissen und -ergebnissen verbindet.

Um am effektivsten zu sein, ist es meiner eigenen Erlebnis nachher wichtig, dass dieser CISO extrinsisch dieser regelmäßig anberaumten Sitzungen eine Konnex zu seinen Vorstandsmitgliedern pflegt. Dies gibt uns die Möglichkeit, besser zu verstehen, welches unsrige Vorstandsmitglieder vom CISO erwarten, und ebenso mit dieser Schulung des Vorstands zu beginnen. Letztendlich geht es im Zusammenhang dieser Realität dieser Cybersicherheit um dasjenige Risk Management, dennoch die Wahrheit ist, dass wir Risiken nie vollwertig hinauswerfen können. Tägliche Schlagzeilen hoch Datenschutzverletzungen nach sich ziehen jeden CISO aufwärts den heißen Stuhl gebracht. Jener CISO hat eine entmutigende Versprechen: Er muss die tägliche Verteidigung seiner Organisation verwalten und taktgesteuert zusammenführen Aktionsplan zu Händen diesen unvermeidlichen zukünftigen Offensive erstellen. Ein CISO braucht Unbescholtenheit und Offenheit, um heute in dieser herausfordernden und entscheidenden Rolle siegreich zu resultieren und siegreich zu sein.