Strateški fokusi za CISO-ove u doba rasta hypea i povećanog nadzora

Glavni direktori za informacijsku sigurnost (CISO) moraju se usmjeriti na tri područja kako bi iskoristili sve veći hype i nadzor te pretvorili poremećaje u priliku, prema Gartneru. Ta tri područja uključuju usklađenost s misijom, spremnost za inovacije i agilnost u promjenama.

„Organizacije agresivno ulažu u tehnologiju kako bi ostvarile svoje ciljeve, posebno u najnovijim, 'hypeanim' područjima poput generativne umjetne inteligencije (GenAI)“, rekla je Katell Thielemann, istaknuta potpredsjednica analitičarka u Gartneru. „Lideri ne ulažu samo u GenAI i druge istraživačke tehnologije; također su zabrinuti zbog kibernetičkih rizika koji ih prate.“

„Kibernetički incidenti povezani s istraživačkom tehnologijom sada izravno utječu na financijske rezultate, pa menadžment posvećuje veću pozornost kibernetičkoj sigurnosti“, izjavio je Leigh McMullen, istaknuti potpredsjednik analitičar i Gartner Fellow. „Biti student hypea može zaista pomoći CISO-ovima da unaprijede svoje agende pod ovim povećalom.“

Thielemann i McMullen naveli su tri ključna područja koja pomažu predvidjeti buduće potrebe CISO-ova i omogućuju im da odgovore na zahtjeve današnje kompleksne, brze i nepredvidive stvarnosti.

CISO-ovi moraju dokazati da su njihovi napori u kibernetičkoj sigurnosti usklađeni s misijom organizacije transparentnim prikazivanjem kako odluke o ulaganju u sigurnost i posljedice izloženosti trebaju funkcionirati zajedno. „Kada su ambicije promjena na vrhuncu, CISO-ovi moraju ljude prizemljiti stvarnošću i podacima“, ističe Thielemann.

Za to, CISO-ovi trebaju započeti s identifikacijom metrika temeljenih na rezultatima (Outcome-Driven Metrics, ODM), odnosno metrika koje mjere trenutnu razinu zaštite i izloženosti. „ODM-ovi omogućuju CISO-ovima transparentnu komunikaciju i dogovor o razinama zaštite s organizacijom“, kaže McMullen. „To je način izražavanja trenutne razine izloženosti i vođenja dijaloga sa svim dionicima – upravom, odborom, CIO-om ili drugima.“

Nakon što se postave ODM-ovi, CISO-ovi trebaju razmotriti sporazume o razini zaštite (Protection Level Agreements, PLA) kao alat za transparentnost usklađenu s misijom. PLA su formalni dogovori o iznosu koji je organizacija spremna potrošiti za postizanje željene razine zaštite. „Kada CISO-ovi komuniciraju u terminima razine zaštite i smanjenja izloženosti, manje su podložni tuđem marketingu i hypeu“, kaže McMullen. „To im pomaže dokazati da su njihovi napori u skladu s misijom organizacije.“

CISO-ovi bi trebali inovirati uz pomoć AI-ja u kibernetičkoj sigurnosti, što će dugoročno pomoći ukupnim AI ambicijama organizacije. „Kibernetička sigurnost trebala bi biti područje u kojem mnoga poduzeća počinju eksperimentirati i nalaziti pravu vrijednost AI-ja“, kaže McMullen. CISO-ovi bi trebali poduzeti tri koraka za ostvarenje dugoročnih AI ambicija svoje organizacije:

Razvijati AI pismenost kod sebe i svojih timova.

Eksperimentirati s AI-jem u kibernetičkoj sigurnosti, od analize koda do lova na prijetnje, modeliranja i analize ponašanja korisnika.

Zaštititi AI ulaganja revidiranjem politika zadržavanja podataka, implementirati procjene rizika za vlastiti GenAI i provoditi revizije usklađenosti.

CISO-ovi znaju da AI donosi više sigurnosnih rizika i da će prijetnje iznutra uz pomoć AI-ja i površina napada rasti. „Kombinacija tih učinaka je zbunjujuća, pa se isplati biti student hypea kad su promjene u pitanju“, naglašava Thielemann. „Organizacijske promjene pogone i ograničava hype. Ako CISO-ovi razumiju tokove hypea, mogu tu energiju iskoristiti u svoju korist.“

„Jedan od načina upravljanja hypeom je 'promatrati izdaleka ono što je blizu'“, nastavlja Thielemann. „Kao CISO, možete vidjeti tisuću inicijativa koje vam dolaze sa svih strana. Kao student hypea, možete predvidjeti energetske valove promjena na svojim timovima i poslovnim partnerima.“

U eri kada su zaposlenici sve otporniji na promjene i strahuju od AI-ja, CISO-ovi moraju paziti na burnout zaposlenika – bilo zbog iznenađenja, osjećaja nemoći ili dosadnih, ponavljajućih zadataka. „CISO-ovi moraju omogućiti svojim timovima da budu dio rješenja i osjećaju kontrolu“, zaključuje McMullen. „Ako članovi tima osjećaju agenciju, poželjet će automatizirati rutinske zadatke i razvijati nove vještine, čime postaju otporni nositelji promjena bez obzira na njihovu prirodu.“

Uloga CISO-a postaje sve složenija zbog dinamičnih prijetnji, rastuće regulative (NIS2, DORA) i sve veće integracije AI-ja i novih tehnologija u poslovanje. Organizacije koje mjere sigurnost kroz rezultate i povezuju ulaganja s poslovnim prioritetima lakše dobivaju podršku uprave i dioničara. AI mijenja kibernetički krajolik, od automatiziranih obrana do sofisticiranih prijetnji, pa je kontinuirana edukacija i usvajanje novih rješenja nužno za konkurentnost i sigurnost.

Razvoj tima, otpornost na stres i stvaranje kulture koja potiče inovacije ključni su za uspjeh CISO-a i sigurnosnih funkcija. Organizacije koje uspiju uskladiti kibernetičku sigurnost sa svojom misijom i strategijom bit će otpornije na poremećaje i bolje pozicionirane za budući rast u digitalnoj ekonomiji.