Data brudd vil ikke gå bort. Med trusler fra nasjonalstatene, kriminelle organisasjoner og grupper som Anonym i økende grad, ser vi flere direktører som anerkjenner behovet for å ansette en Chief Information Security Officer (CISO) for å drive informasjonssikkerhet og risikostrategi.

Nylige høyprofilerte brudd har fremhevet behovet for bedre informasjonssikkerhet fra den gjennomsnittlige arbeidstaker til styret. Men hva trenger vi å vite om CISOs rolle? Vi snakket med Bob West, Chief Trust Officer ved CipherCloud, for å finne ut hans tanker.

TechRadar Pro: I en bedrift bør sikkerhet og IT sitte under samme paraply?

Bob West: Vanligvis nei, men det avhenger av størrelsen på organisasjonen og sminke av teknisk personale. Det kan være fornuftig for et 1000-person selskap å ha IT og sikkerhet under samme gruppe. Men det er fornuftig for større bedrifter å skille ut roller og lag for skaleringsformål.

På slutten av dagen er ansvaret fundamentalt forskjellig - sikkerheten beskytter organisasjonens eiendeler; Det gir innspill på teknologibeslutninger og mulige risikoer bedriften står overfor. IT leverer teknologiløsninger.

TRP: Hva er rollen som en CISO?

BW: CISO anbefaler konsernsjefen om hvordan organisasjonen trenger å oppfylle de ulike sikkerhets- og personvernkravene for å gjøre forretninger i deres bestemte bransjer og operasjonsområder. CISO overvåker et team som sammen har en 360 graders oversikt over risikoene som bedriften står overfor, og legger til rette for nødvendige sikkerhetsteknologier og prosesser for å minimere risikoen for organisasjonen.

TRP: Hvordan sammenligner CISOs rolle med en CIO?

BW: Ovenfor dekket vi rollen som CISO. Det er noen overlappende områder med CIO, som driver teknologistrategi. For eksempel, når teknologigruppen foretar en kjøpsbeslutning, må sikkerhetsgruppen bli trukket inn for å vite teknologien fra et sikkerhetssynspunkt.

TRP: Hvor viktig er CISO-rollen i dag?

BW: Rollen vokser i vikt med alle sikkerhetsbrudd og sikkerhetsproblemer identifisert. Truslene har vært mye mer aggressive og spenner fra nasjonalstatene til kriminelle organisasjoner.

TRP: Bør enhver organisasjon ha en CISO?

BW: Som jeg fremhevet i mitt svar på det første spørsmålet, kan SMBer ikke ha behov for en dedikert CISO. I slike tilfeller kan det være fornuftig for CIO å også ha CISO-lue og han / hun kan ha en konsulent for å gi veiledning på deltid.

TRP: Var mangelen på en CISO en viktig medvirkende faktor til den beryktede Target data breach?

BW: Det er ikke lett å forstå hvorfor en organisasjon av Targets størrelse ikke benyttet en CISO på den tiden, men uten en, er det svært vanskelig å sikre at informasjonen er beskyttet konsekvent i hele bedriften.

TRP: Hva kan andre organisasjoner gjøre for å hindre en gjentakelse av et lignende brudd?

BW: Sørg for at det er sikkerhetsledelse og riktig bemanningsnivå og budsjett, slik at informasjonen kan bli ordentlig beskyttet. Politikk som kan forstås tydelig må skrives for å lede hele organisasjonen. Alle bør forstå hva de trenger å gjøre for å beskytte informasjon som en del av deres daglige rolle. Beskytte informasjon krever riktig kombinasjon av mennesker, prosess og teknologi.

TRP: Hva kan bedrifter gjøre nå for å forbedre deres skyssikkerhet uansett infrastruktur de har?

BW: Den største faren i skyen er at bedrifter enten tror at skyteprodusenter har sikkerhet dekket eller at det ikke finnes løsninger for skyens sikkerhet. På det tidligere punktet har store skyvedører bygget opp robust nettverk og infrastruktur sikkerhet. For eksempel, i tilfelle e-post, har Google og Microsoft implementert SSL-kryptering for å beskytte data på transportlaget, og det er veldig nyttig.

Men å beskytte dataene i seg selv går et skritt videre og er et must for bedrifter i dagens forretningsklima. Noen av disse kontrollene for sky inkluderer søknadsoppdagelse, kryptering, tokenisering som et maskeringsalternativ, forebygging av datatap for å sette og håndheve retningslinjer og overvåking for å forstå uvanlig aktivitet.