Bagaimana mengubah peran CISO untuk ekonomi digital pertama

Dengan usaha bisnis apa pun, semua organisasi bertujuan untuk meminimalkan risiko penurunan dan memaksimalkan peluang kenaikan pada tingkat dasar tertentu. Dengan transisi cepat ke teknologi digital pertama, organisasi menawarkan produk baru untuk meningkatkan pengalaman pelanggan dengan memberikan proposisi nilai kapan saja, di mana saja. Tetapi dengan kenyamanan sering kali datang risiko.

Misalnya, restoran dan pengecer mengaktifkan data GPS menggunakan aplikasi pihak ketiga melalui integrasi API untuk mendukung layanan berbasis lokasi. Aplikasi ini meningkatkan pengalaman pengguna dan memaksimalkan keuntungan bisnis melalui penawaran penjualan yang disesuaikan dan pengalaman layanan pelanggan yang dipersonalisasi. Tapi berapa biayanya?

Kita semua sekarang tahu kekuatan “mengikuti” zaman dan secara digital memungkinkan bisnis untuk bertahan, tetapi banyak organisasi masih belum sepenuhnya memahami risikonya. Chief Information Security Officers (CISOs) memainkan peran penting dalam mengoptimalkan standar kesehatan dan keamanan organisasi, sambil mempertimbangkan kemakmuran bisnis.

Agar CISO berhasil dalam perannya, mereka harus memahami sifat berlawanan dari risiko tinggi dan imbalan tinggi untuk membuat keputusan yang cerdas dan diperhitungkan untuk semua usaha bisnis.

Peran Kepemimpinan CISO dalam Organisasi

Dalam pengertian tradisional, CISO 1.0, seperti yang saya suka menyebutnya, memainkan peran sembrono yang tidak terus-menerus mengevaluasi atau mengatasi ancaman digital online yang sedang berlangsung. Dengan mengambil pendekatan statis, CISO 1.0 tidak waspada dalam mencegah serangan dan menerima bahwa apa yang terjadi, terjadi. Seperti mengamankan rumah dari dalam, CISO 1.0 bekerja untuk memastikan semua pintu dan jendela terkunci, tetapi tidak seperti CISO yang diubah, tidak bekerja ekstra untuk memeriksa lingkungan untuk ancaman yang terlihat sebelum membuka pintu atau jendela.

CISO 2.0, bagaimanapun, memainkan peran yang lebih proaktif dan dinamis dengan menempatkan diri mereka pada posisi pelanggan dan mempertimbangkan berbagai potensi ancaman untuk membuat keputusan yang lebih diperhitungkan dan berpikiran maju untuk mengamankan bisnis. Untuk benar-benar meningkatkan peran CISO menjadi peran kepemimpinan dalam organisasi mana pun, profesional CISO harus terampil dalam mengelola ketidakpastian dan bersedia mencari peluang di luar organisasi untuk mengembangkan bisnis.

5 Karakteristik Kunci dari CISO 2.0 yang Mahir

Jadi, langkah apa yang harus saya ambil untuk menjadi CISO 2.0 yang mahir? Pertama-tama kita harus mengidentifikasi kualifikasi teratas dari CISO 2.0 yang kuat:

CISO 2.0 adalah pembangun budaya. Bisnis masih belum mengadopsi mentalitas “utamakan keamanan”. Biasanya, fitur organisasi dan pola pikir “pertama ke pasar” adalah yang mendorong pengembangan aplikasi. CISO 2.0 yang sukses perlu mengubah mentalitas itu menjadi budaya “pembangunan yang aman”. Saat ini, keamanan dianggap sebagai penghalang jalan oleh tim pengembangan — “Tim keamanan hanya memperlambat kami.” Mengubah pola pikir dan budaya ini tidak mudah, tetapi dapat dilakukan dengan orang, proses, dan alat yang tepat.CISO 2.0 adalah perekrut yang terampil. Sangat mudah bagi CISO 1.0 untuk menyewa analis keamanan dengan gelar untuk peran tertentu. Namun, mempekerjakan orang yang tepat adalah suatu keharusan ketika datang ke lanskap ancaman saat ini. CISO 2.0 perlu melihat melampaui keahlian dan sertifikasi, dengan mempertimbangkan sifat-sifat lain yang akan membuat tim mereka lebih kuat dan lebih gesit. Misalnya, komunikasi, kreativitas, dan kemampuan untuk beradaptasi pada saat itu juga sangat penting agar tim keamanan berhasil. Sifat-sifat ini sulit diukur ketika hanya melihat resume, jadi CISO 2.0 perlu memiliki kepekaan yang kuat terhadap dorongan dan motivasi kandidat untuk memastikan perekrutan yang tepat dilakukan. CISO 2.0 adalah manajer program lintas fungsi yang kuat. Terlalu sering kita melihat tim keamanan di pulau mereka sendiri. Mereka tidak memiliki wawasan tentang tim pengembangan, QA, dan DevOps, dan CISO 2.0-lah yang perlu mendobrak hambatan tersebut. CISO 1.0 tradisional mungkin mengatakan kepada tim ini, “Beginilah cara kerja tim keamanan kami, jadi Anda perlu mengubah proses Anda.” Pendekatan yang lebih baik adalah memiliki pemahaman penuh tentang bagaimana unit bisnis ini beroperasi dalam organisasi dan bekerja dengan mereka sebagai perpanjangan dari proses mereka daripada aksesori yang tidak sesuai. CISO 2.0 adalah komunikator ahli. Komunikasi tidak dapat dilebih-lebihkan dalam hal CISO 2.0. Keterampilan ini sering diabaikan tetapi kemampuan untuk menyampaikan visi yang jelas dan ringkas tentang budaya “utamakan keamanan” kepada para eksekutif sangat diperlukan dan dapat membuat perbedaan besar dalam cara kerja tim pengembangan dan keamanan. Secara khusus, CISO harus belajar menyesuaikan visi mereka untuk setiap tim pengembangan tertentu, menunjukkan bagaimana keamanan dapat membantu peran spesifik mereka. Ini bisa sangat membantu dalam mendobrak hambatan antar unit bisnis.CISO 2.0 adalah pakar keamanan siber dengan pola pikir peningkatan berkelanjutan untuk mendorong bisnis. Cukup mudah bagi CISO 1.0 untuk memiliki proses dan alat yang mereka gunakan selama bertahun-tahun. Namun, saya dapat menjamin Anda bahwa ini adalah proposisi yang kalah. Pelaku ancaman sehari-hari semakin kreatif dan berkomitmen untuk menemukan lubang di organisasi mana pun. Yang benar adalah bahwa alat dan inovasi kemarin tidak dapat mengatasi masalah hari ini. Lanskap ancaman terlalu sering berubah. CISO 2.0 perlu waspada dalam hal pelatihan, alat, dan proses internal untuk tetap berada di depan kerentanan terbaru. Ini adalah inisiatif tanpa akhir dan harus dilihat sebagai motivator, bukan gangguan sebagai bagian dari peran CISO 2.0.

Keingintahuan vs. Penutupan, Eksperimen vs. Khotbah & Penuntutan

Terlalu sering, profesional CISO mengandalkan pemenuhan standar kepatuhan atau mengimbangi pesaing dan mengacaukan taktik ini sebagai memenuhi strategi keamanan yang ringkas. Metodologi statis ini berarti bahwa organisasi hanya akan sekuat atau siap seperti pesaing mereka berikutnya dan tidak akan pernah berusaha melampaui strategi keamanan pesaing.

Fungsi CISO unik karena merupakan satu-satunya peran dalam organisasi yang mengambil tujuan keamanan dan menerjemahkannya ke dalam tujuan bisnis. Terjemahan ini membutuhkan CISO untuk berkembang menjadi pengambil keputusan penting dalam sebuah organisasi yang mengambil risiko yang diperhitungkan untuk mendapatkan pangsa pasar. Serupa dengan memungkinkan layanan berbasis lokasi untuk memenuhi dan melampaui permintaan pelanggan dan organisasi, CISO harus mempertimbangkan manfaat integrasi dengan aplikasi dan vendor pihak ketiga, namun bukan tanpa mempertimbangkan risiko warisan yang berasal dari membuka bisnis Anda hingga kelemahan rantai pasokan dan di luar ancaman. Pada akhirnya, CISO sangat penting untuk operasi bisnis karena perannya akan menentukan seberapa efektif bisnis dalam melindungi bisnis dan data penting.

Untuk para profesional di bidang yang ingin melakukan transformasi ke CISO 2.0, rekomendasi saya adalah tetap ingin tahu dan eksperimental sambil juga mempertahankan standar dan operasi keamanan yang sehat dan kuat agar organisasi Anda tetap kompetitif, bergerak dengan kecepatan optimal, dan mampu memenuhi kebutuhan yang terus berkembang. tuntutan pelanggan.

Kredit foto: Den Rise / Shutterstock

Ray Kelly adalah Rekan, Keamanan Aplikasi NTT

Author: Martha Meyer