A CISO szerepe már nem csak technikai jellegű, nem pusztán a hardver és a végpontok védelmére, a szervezeti periférián belüli műveletekre összpontosít. A mai CISO-nak ugyanúgy kell foglalkoznia a szoftverbiztonsággal, a felhőalapú alkalmazásokkal, a biztonságtudatossággal és a felhasználók képzésével - írja a Tripwire elemzése.
A jelentéstételi vonalak is megváltoztak. Bár egyes CISO-k még mindig a CIO-nak vagy akár az IT-igazgatónak jelentenek, ugyanolyan valószínű, hogy saját helyet kapnak az igazgatótanácsban. Ez az információhoz és a kiberbiztonsághoz való hozzáállás szélesebb körű változását jelenti. A kibertámadások egzisztenciális fenyegetést jelentenek a szervezetekre. Az igazgatótanácsi szintű válasz nem csupán helyénvaló, hanem elengedhetetlen.
A kiberbiztonsági irányítás korszerűsítésének azonban együtt kell járnia a szervezet kockázati megközelítésének fejlődésével is. A kiberfenyegetéseket már nem lehet elkerülni. Bizonyos mértékig az üzleti tevékenység költségei közé tartoznak.
Sok szó esik arról, hogy a szervezeteknek meg kell érteniük a kockázathoz való viszonyt. Ez alól a kiberkockázat sem kivétel. Ez a felelősség részben, ha nem teljes egészében a CISO-t terheli. Neki kell elemeznie a kockázatokat, enyhítő intézkedéseket kell javasolnia, és az eredményeket be kell mutatnia az igazgatótanácsnak.
Az új és változó fenyegetések nyomon követése mellett a CISO-knak a technológiai fejlődéssel is lépést kell tartaniuk. Ezek közé tartozik a felhőtechnológia, a mesterséges intelligencia és a gépi tanulás, valamint a fejlett elemzések és érzékelők használata. E fejlesztések némelyike kifejezetten a biztonságra vonatkozik, és kulcsfontosságú a kártékonyabb támadásokra való gyorsabb reagáláshoz. Másokat a szélesebb értelemben vett üzleti élet igényei vezérelnek, azaz javuljon az agilitás, a rugalmasság és az ügyfelekre való reagálás.
Ha ehhez hozzávesszük, hogy lépést kell tartani a változó szabályozási követelményekkel, a megfelelés szigorúbb érvényesítésével, az új munkamintákkal és az állásidővel szembeni kisebb toleranciával, akkor egyértelmű, hogy az egyetlen CISO már nem jelent működőképes megoldást. Emiatt új struktúrára van szükség, amelyben megvan a CISO alatti hierarchia.
A növekvő felelősség arra késztetik az előretekintő szervezeteket, hogy újra átgondolják a CISO szerepkörének szerveződését. A nagyobb vállalatoknál indokolt több CISO kinevezése olyan módon, hogy az üzleti egységekre, földrajzi területekre vagy olyan speciális területekre terjedjen ki, mint az operatív technológia vagy a szoftverfejlesztés.
Egyre világosabbá válik, hogy a CISO-k esetében az egyféle megközelítés nem fog működni. És az is nyilvánvaló, hogy egyetlen CISO nehezen fogja tudni irányítani a kiberbiztonság és a kockázatok valamennyi aspektusát egy vállalaton belül.
Az egyik egyre inkább teret nyerő elképzelés a "CISO-iroda" vagy a több CISO-t magában foglaló struktúra. Ez kialakulhat egy "szuper CISO" körül, aki a biztonságért és a kockázatokért átfogóan felelős, és az egyes CISO-kat vagy az üzleti egységek vagy földrajzi területek biztonsági vezetőit irányítja. Egy másik változatban a biztonsági vezetőket funkció szerint lehetne összehangolni, például egy CISO-t a gyártásért, az ellátási láncért és a technológiai igazgató alá tartozó területért tennék felelőssé.
A biztonság ilyen módon történő összevonása a szervezetet a kockázat és a biztonság egyéb változásaihoz való alkalmazkodásban is segítené. A fizikai és az informatikai, pontosabban az adatbiztonság már közeledik egymáshoz. A hatékony kiberbiztonság pedig egyre inkább a jól képzett és tájékozott embereken múlik. A CISO-iroda ugyanolyan valószínűséggel vesz részt a biztonságtudatosság és az oktatás területén végzett munkában, mint a technikai intézkedésekben, például a tűzfalak üzemeltetésében vagy a fenyegetések észlelésében.
A biztonsági főnöki hivatal vagy a CISO-iroda létrehozása integrálja ezeket a szakterületeket és készségeket. Ezáltal a biztonsági funkció reagálóképesebbé és alkalmazkodóképesebbé, de egyben ellenállóbbá is válik. A munkaterhek inkább egy csapatban oszlanak meg, mintsem egy személyre hárulnának, és a csoportos megközelítés bizonyos fokú specializálódást tesz lehetővé. Az átfogó biztonsági vezető ezután az igazgatóságnak tesz jelentést.
Ez pedig megteremti az alapokat a biztonsági szerepkör jövőbeli fejlődéséhez is. A nagyobb szervezetekben, például a pénzügyi szektorban vagy a kormányzatnál már gyakori, hogy ezer vagy még több alkalmazott dolgozik biztonsági szerepkörben. Ez a szám csak növekedni fog, ahogy a CISO-iroda átveszi a fizikai biztonság, a válságkezelés és az üzletmenet-folytonosság felelősségét - állapította meg a Tripwire.