Datalekken zullen niet verdwijnen. Met bedreigingen van nationale staten, criminele organisaties en groepen zoals Anonymous in de lift, zien we meer CEO's die de noodzaak erkennen om een ​​Chief Information Security Officer (CISO) in te huren om informatiebeveiliging en risicostrategie te stimuleren.

Recente opvallende inbreuken hebben de behoefte aan een beter bewustzijn van de informatiebeveiliging van de gemiddelde werknemer aan de raad van bestuur benadrukt. Wat moeten we echter weten over de rol van de CISO? We spraken met Bob West, Chief Trust Officer bij CipherCloud, om zijn gedachten te achterhalen.

TechRadar Pro: In een onderneming moeten beveiliging en IT onder dezelfde paraplu zitten?

Bob West: Over het algemeen niet, maar het hangt af van de grootte van de organisatie en de samenstelling van de technische staf. Het kan logisch zijn dat een bedrijf met 1.000 personen IT en beveiliging onder dezelfde groep heeft. Maar het is logisch dat grotere bedrijven de rollen en teams scheiden voor schaaldoeleinden.

Aan het eind van de dag zijn de verantwoordelijkheden fundamenteel anders: beveiliging beschermt de activa van de organisatie; het geeft input over de technologiebeslissingen en de mogelijke risico's waarmee de onderneming wordt geconfronteerd. IT levert technologische oplossingen.

TRP: Wat is de rol van een CISO?

BW: De CISO adviseert het uitvoerende team over hoe de organisatie moet voldoen aan de verschillende beveiligings- en privacyvereisten om zaken te doen in de betreffende industrie en territoria van activiteiten. De CISO houdt toezicht op een team dat samen een 360 graden beeld heeft van de risico's waarmee de onderneming wordt geconfronteerd en zorgt voor de nodige beveiligingstechnologieën en -processen om de risico's voor de organisatie te minimaliseren.

TRP: Hoe verhoudt de rol van de CISO zich tot een CIO?

BW: Hierboven hebben we de rol van de CISO besproken. Er zijn enkele overlappende gebieden met de CIO, die technologiestrategie aanstuurt. Wanneer de technologiegroep bijvoorbeeld een aankoopbeslissing neemt, moet de beveiligingsgroep worden aangetrokken om de technologie te onderzoeken vanuit een beveiligingsstandpunt.

TRP: Hoe belangrijk is de rol van CISO vandaag??

BW: De rol wordt steeds belangrijker bij elke geconstateerde inbreuk op de beveiliging en de veiligheid. De dreigingen zijn veel agressiever en variëren van natiestaten tot criminele organisaties.

TRP: Moet elke organisatie een CISO hebben?

BW: Zoals ik al aangaf in mijn antwoord op de eerste vraag, hebben KMO's wellicht geen speciale CISO nodig. In die gevallen zou het logisch kunnen zijn dat de CIO ook de CISO-hoed draagt ​​en hij / zij kan een consultant hebben die op parttime basis advies verstrekt..

TRP: Was het ontbreken van een CISO een belangrijke bijdragende factor aan de beruchte inbreuk op de doelgegevens??

BW: Het is niet gemakkelijk om te begrijpen waarom een ​​organisatie met de grootte van Target op dat moment geen CISO gebruikte, maar zonder één, is het erg moeilijk om ervoor te zorgen dat informatie consistent in de hele onderneming wordt beschermd.

TRP: Wat kunnen andere organisaties doen om herhaling van een vergelijkbare overtreding te voorkomen?

BW: Zorg dat er sprake is van beveiligingsleiderschap en het juiste personeelsniveau en budget, zodat informatie op de juiste manier kan worden beschermd. Beleid dat duidelijk kan worden begrepen, moet worden geschreven om de hele organisatie te begeleiden. Iedereen zou moeten begrijpen wat hij moet doen om informatie te beschermen als onderdeel van zijn dagelijkse rol. Het beschermen van informatie vereist de juiste combinatie van mensen, processen en technologie.

TRP: wat kunnen bedrijven nu doen om hun cloudbeveiliging te verbeteren, welke infrastructuur zij ook hebben?

BW: Het grootste gevaar in de cloud is dat bedrijven denken dat cloudproviders onder de beveiliging vallen of dat er geen oplossingen zijn voor cloudbeveiliging. Op het eerste punt hebben grote cloudproviders een robuuste netwerk- en infrastructuurbeveiliging opgebouwd. In het geval van e-mail hebben Google en Microsoft bijvoorbeeld SSL-codering geïmplementeerd om gegevens op de transportlaag te beschermen en dat is erg handig.

Maar de gegevens zelf beschermen gaat een stap verder en is een must voor bedrijven in het huidige zakelijke klimaat. Sommige van deze besturingselementen voor cloud omvatten het opsporen van toepassingen, versleuteling, tokenisatie als een maskeeralternatief, preventie van gegevensverlies om beleid in te stellen en te handhaven, en monitoring om ongebruikelijke activiteit te begrijpen.