Chief Information Security Officer (CISO) vastaa tieto- ja tietoturvasta koko organisaatiossa. Verrattuna sellaisiin rooleihin kuin turvallisuuspäällikkö (CSO) tai turvallisuusosaston johtaja, tehtävien laajuus on suurempi.
Aikanadigitalisaatioohjelmisto tunkeutuu koko yritykseen, mikä lisää merkittävästi IT-hyökkäyspintaa. Siksi CISO:n rooli kasvaa. Siksi on syytä tarkastella lähemmin tämän johtotehtävän erityisiä vastuita, tehtäviä ja vaatimuksia.
CISO - määritelmä
CISO kattaa kuilun perinteisesti erillisten tietotekniikan, turvallisuuden ja yrityksen liiketoiminnan välillä. Toiminto kehittää IT-tietoturvastrategiaa liiketoiminnan tavoitteista ja varmistaa siten tarvittavan suojan estämättä nykyaikaisten liiketoimintaprosessien ketteryyttä.
Päivittäisessä työssään CISO vastaa muun muassa turvallisuustoiminnoista, kyberriskeistä ja tiedustelupalveluista, suojauksesta tietojen katoamiselta ja petoksilta, turvallisuusarkkitehtuuri, identiteetin ja pääsyn hallinta (IAM), ohjelmanhallinta, rikostekninen tutkimus ja hallinto. Osana tietoturvan hallintajärjestelmää (ISMS) CISO myös auditoi tietoturvaa ja raportoi tulokset johdolle.
IT-turvallisuus vaikuttaa koko organisaatioon kaikilla tasoilla, joten CISO:n on otettava turvallisuuteen kokonaisvaltainen lähestymistapa. Sekä teknologia ja organisaatio että kulttuuri ja toimitusketju ovat tärkeitä tekijöitä, jotka on pidettävä mielessä. Tietoturvapäällikkö vastaa myös maineenhallinnasta ja viestintätoimenpiteistä kriisitilanteissa.
CISO raportoi yleensä Chief Information Officerille (CIO), muissa tapauksissa suoraan toimitusjohtajalle (CEO) tai johdolle, koska tietoturva on vain osa hänen tehtäviään. Rooli huolehtii myös yrityksen kaiken muun (ei-digitaalisen) tietoomaisuuden, kuten paperitiedostojen, turvallisuudesta ja riskienhallinnasta.
CISO:n vastuut
CISO:n tehtävät ovat yhtä monipuolisia kuin yritykselle, jossa hän työskentelee.Stephen Katz myönsi haastattelussahyvän yleiskuvan päivittäisen työn perusasioista. Katzia pidetään edelläkävijänä CISO-roolissaan, jonka hän määritteli ja piti Citigroupissa 1990-luvulla. Hän jakaa ne seuraavasti:
- Tietojen menetys ja petostentorjunta
Varmista, että työntekijät eivät käytä väärin tai varasta tietoja vahingossa, huolimattomuudesta tai tahallisesti. - Turvatoimet
Analysoi välittömiä uhkia reaaliajassa ja koordinoi välittömiä vastatoimia hätätilanteessa. - Kyberriski ja älykkyys
Pysy ajan tasalla uusista turvallisuusuhkista. Auttaa hallitusta ymmärtämään yritysostoista tai muista liiketoimintapäätöksistä aiheutuvia mahdollisia turvallisuusriskejä. - turvallisuusarkkitehtuuri
Turvalaitteiden ja -ohjelmistojen suunnittelu, hankinta ja käyttöönotto. Varmista, että IT ja verkko mallinnetaan sopivimpien tietoturvan parhaiden käytäntöjen mukaisesti. - Identity and Access Management (IAM)
Varmista, että vain valtuutetulla henkilökunnalla on pääsy arkaluontoisiin, omistusoikeudellisiin tietoihin ja järjestelmiin. - ohjelmien hallinnointi
Vastaa nouseviin tietoturvatarpeisiin toteuttamalla riskejä eliminoivia ohjelmia ja projekteja. Tämä sisältää esimerkiksi tavalliset järjestelmäkorjaukset. - Vianetsintä ja rikostekninen tutkimus
Selvitä, mikä meni pieleen tietoturvaloukkauksessa, aseta vastuulliset vastuuseen, jos he ovat omasta organisaatiostasi, ja kehitä suunnitelmia vastaavien kriisien ehkäisemiseksi tulevaisuudessa. - Hallinto
Varmistetaan, että kaikki edellä mainitut aloitteet toimivat moitteettomasti, niillä on riittävä rahoitus ja että ylin johto ymmärtää niiden tärkeyden.
Koulutuksen järjestäjällä SANS Institute on yksityiskohtainen kuvaus CISO:n tehtävistä yhdessäValkoinen paperi(PDF) yhteenveto.
CISO:n vaatimukset
CISO:n asema olettaa kiinteäntekninen koulutusetukäteen. Tietoturvaopiskelijoiden tietoportaalin mukaanCyberdegrees.orgCISO edellyttää vähintään tietojenkäsittelytieteen tai vastaavan alan kandidaatin tutkintoa. Yhä useammin yritykset kuitenkin luottavat siihenTurvallisuuspainotteinen maisterin tutkintoArvo. Lisäksi edellytetään 7-12 vuoden työkokemusta, joista vähintään viisi johtotehtävissä.
Lisäksi CISO:lla tulisi olla erilaisia teknisiä taitoja. Ohjelmoinnin ja järjestelmänhallinnan perustiedot ovat mitä jokainen teknisen alan korkea-arvoinen johtaja tarvitsee. Lisäksi kuitenkinTurvatekniikan tuntemustärkeitä, kuten DNS, reititys, todennus, VPN, välityspalvelinpalvelut ja DDoS:n lieventäminen, ohjelmointikäytännöt, eettinen hakkerointi, uhkien mallintaminen ja analysointi, palomuurit sekä tunkeutumisen havaitsemis- ja estoprotokollat.
Myösinhimillinen tekijäsiirtyy yhä enemmän CISO:n painopisteeseen. Kehittyneen tietojenkalastelun, sähköpostihuijausten taiSocial EngineeringHyökkääjät ohittavat yritysten tekniset suojatoimenpiteet. Tämä lisää tietoisuutta ja kouluttaa työntekijöitäTurvallisuustietoisuustoimenpiteetturvallisuudesta vastaavien keskeinen tehtävä.
Lisäksi CISO:lla tulee olla myös osaamista vaatimustenmukaisuuden alalla voidakseen tukeasäännösten vaatimuksianoudattamaan Tämä koskee esimerkiksi toimialasta ja ydinliiketoiminnasta riippuenGDPR, IT-perussuojaus,KRIITTINEN- tai PCI-vaatimukset. Kansainvälisesti toimivien yritysten on myös noudatettava muita standardeja, kuten HIPAA, CCPA, NIST, GLBA tai SOX.
CISO:ltajohtamistehtäviäja mieluiten pitää tiivistä yhteyttä hallituksen jäseniin, pelkkä tekninen tieto ei riitä tähän virkaan. Larry Ponemon, samannimisen tutkimuslaitoksen perustaja,tarttuito "SecureWorld": "Menestyneimmillä CISO:illa on hyvä tekninen perusta ja liiketoimintatausta." Heillä on esimerkiksi MBA-tutkinto ja he voivat kommunikoida muiden C-tason esimiesten tai hallituksen kanssa tasavertaisesti.
Rekrytointitoimisto LaSalle Networkin johtajan Paul Wallenbergin mukaan vaadittavat ei-tekniset taidot ovat hyvin yrityskohtaisia. "Kansainvälisesti toimivat yritykset etsivät enimmäkseen ehdokkaita, joilla on kokonaisvaltainen, toimiva tietoturvatausta." He arvioivat johtajuutta CV:n ja aiemman suorituskyvyn perusteella. Toisaalta yritykset, jotka keskittyivät verkkoon tai tuotteisiin, etsivät CISO:ita, joilla oli erityisiä taitoja sovellusten ja verkkoturvallisuuden alalla.
CISO-sertifikaatti
Koska CISO:ksi ei ole ennalta määrättyä koulutuspolkua, on olemassa sertifikaatteja, jotka on tarkoitettu välittämään tarvittavat asiantuntijataidot. Tarjousvalikoima on laaja, Cyberdegrees.orglistaa kuusi yksin. LaSallen johtaja Wallenberg nostaa niistä kolme hänen mielestään tärkeimpiä:
Sertifioitu tietojärjestelmien turva-ammattilainen(CISSP) IT-ammattilaisille, jotka haluavat keskittyä tietoturvaan.
Sertifioitu tietoturvapäällikkö(CISM) on suosittu tietoturvatiedon syventämisessä. Se tasoittaa tietä johtajuuteen tai ohjelman johtoasemaan.
Sertifioitu eettinen hakkeri(CEH) on tarkoitettu tietoturva-alan ammattilaisille, jotka saavat syvällistä tietoa yrityksen tietoturvaan kohdistuvista monimutkaisista uhkista.
Saksassa jotkin järjestöt ja koulutusyritykset tarjoavat myös sertifiointeja paikallisille markkinoille. Tässä on joitain esimerkkejä:
Bundesverband IT-Sicherheit Teletrust tarjoaa koulutustaTeleTrusT-tietoturvan ammattilainen(TISP).
Bitkom-teollisuusyhdistyksen akatemia tarjoaa aBSI IT-perussuojauksen ja ISO/IEC 27001/27002 mukainen sertifikaattikurssian.
Kiinnostuneet voivat hakea TÜV NordiinCISO-seminaarijonka onnistuneen suorittamisen jälkeen osallistujat saavat TÜV NORD CERT -sertifikaatin.
Konsultointi- ja koulutuspalvelujen tarjoaja CBT tarjoaa kursseja sertifikaatin hankkimiseen "CISO:n tietoturvapäällikkö"an.
CISO vs. CIO vs. CSO
Turvapäälliköillä on joskus tapana lukita järjestelmät parantaakseen niiden turvallisuutta. Tämä voi johtaa ristiriitaan IT-osaston kanssa, joka vastaa tiedon ja sovellusten saatavuudesta mahdollisimman sujuvasti.
Tämä väite on todennäköinenCISO:n ja tietohallintojohtajan välillätaistellut. Se vaikuttaa siihen, miten yrityksen ylin johto on organisoitu. Jos CISO ei raportoi suoraan toimitusjohtajalle, vaan raportoi tietohallintojohtajalle, tämä voi johtaa ongelmiin. Strategiset turvallisuuspäätökset voidaan tällöin joutua alistamaan tietohallintojohtajan kattavan IT-strategian, mikä voi olla haitallista tietoturvan tasolle.
Kun CISO istuu suoraan johtokunnan tai hallituksen alapuolella, he saavat enemmän itsevarmuutta. Tämä voi myös johtaa otsikon muutokseen. MukaanGlobal State of Information Security Survey(PDF), CISO raportoidaan yleensä tietohallintojohtajalle, kun taas CSO toimii enemmän samalla hierarkkisella tasolla. Hän vastaa myös ei-teknisistä turvallisuuskysymyksistä.
CIO:n ja CISO:n asettaminen tasa-arvoon voi vähentää konfliktin mahdollisuutta ja toimia signaalina koko organisaatiolle, että turvallisuus otetaan vakavasti. Tämä tarkoittaa kuitenkin myös sitä, että CISO ei saa estää teknisiä aloitteita. Näin sanoi Ducatin tietohallintojohtaja Piergiorgio Grossii-CIO Magazine, CISO:n tehtävä on auttaa IT:tä toimittamaan tehokkaampia tuotteita ja palveluita sen sijaan, että sanoisi ei. Tämä jaettu vastuu strategisista projekteista muuttaa näiden kahden tieteenalan suhdedynamiikkaa ja voi olla uuden CISO:n menestyksen kriittinen elementti.
CISO-työprofiili
Jos yritys etsii CISO:ta, monet edellä mainituista seikoista vaikuttavat työnkuvaan. "Yritykset päättävät ensin, haluavatko ne palkata CISO:n, sitten he saavat hyväksynnät hierarkiatasolle, raportointirakenteelle ja viran viralliselle nimelle", LaSallen johtaja Wallenberg selittää. Pienemmissä yrityksissä CISO:ksi voi tulla myös osastopäällikkö tai turvallisuusjohtaja. Lopuksi on tärkeää muotoilla tehtävän vähimmäisvaatimukset ja pätevyys sekä käynnistää sisäinen tai ulkoinen tarjouskilpailu.
Itse työpaikkailmoituksen tulee tehdä alusta alkaen selväksi yrityksen sitoutuminen turvallisuuteen, jotta korkeasti koulutettujen hakijoiden huomio kiinnittyy. Se auttaa kuvailemaan tarkasti, missä CISO sijaitsee yrityksen hierarkiassa ja kuinka monta kontaktia johtoon tai hallitukseen on suunniteltu.
Vaikka paikka olisi täytetty, työnkuvaa tulee päivittää säännöllisesti ja pitää saatavilla. Aina ei ole selvää, milloin työntekijä siirtyy uuteen haasteeseen, ja CISO on kriittinen asema, jota ei pidä jättää tyhjäksi.
CISO palkka
CISO:lla on korkean tason asema, ja hänelle yleensä maksetaan vastaavasti, vaikkakin summa vaihtelee suuresti. palkkalaskuri kutenLasioviCISO-työpaikat Saksassa maksavat keskimäärin noin 107 000 euroa vuodessa, ja niissä on runsaasti tilaa ylös ja alas. toisaaltapuhuaMyös CISO-tuloisia rekrytoijia, jotka rikkovat 200 000 euron vuosipalkan rajan – kunhan ehdokas on oikea asiantuntija kyseiseen tehtävään.
Uusi portaalimme on myös kaikille CISO:ille ja sellaisiksi haluavillehttps://www.csoonline.com/de/erittäin suositeltavaa.
