Viktigheten av proaktivitet og kontinuerlig læring er avgjørende for å holde tritt med den nyeste utviklingen innen informasjonssikkerhet. Samtidig er det nødvendig å gjøre feil og lære av svakheter for å drive kontinuerlig forbedring i organisasjonen. Slik bør CISO-er tenke når det gjelder å fremtidssikre informasjonssikkerheten.
Den menneskelige kraften i informasjonssikkerhet
I informasjonssikkerhet kan menneskets naturlige og ofte positive egenskaper bli potensielle svakheter. For eksempel kan vår vilje til å hjelpe ubevisst legge til rette for uautorisert tilgang, mens vår nysgjerrighet og sosiale natur kan føre til at vi utilsiktet avslører sensitiv informasjon eller interagerer med skadelig programvare.Kontinuerlig læring og forbedring innen informasjonssikkerhet er derfor avgjørende for å utstyre hele organisasjonen med den kunnskapen og de verktøyene som trengs for å identifisere og håndtere sikkerhetsrisikoer proaktivt. Ved å gjøre medarbeiderne i stand til å handle sikkert, blir de ikke det svakeste leddet, men en avgjørende del av sikkerhetsstrategien og en viktig brikke i puslespillet i en sterk sikkerhetskultur.
CISOens rolle i kontinuerlig læring
Mange organisasjoner står overfor utfordringer når det gjelder å få hele virksomheten med på laget. Ofte blir CISO-en sittende igjen med operative oppgaver og detaljspørsmål som begrenser deltakelsen i de ansattes hverdag. For å styrke organisasjonen er det ditt ansvar å drive frem læring rundt informasjonssikkerhet ved å være nysgjerrig, åpen og gjennomsyres av et ønske om å hjelpe kollegene dine. Her er tre viktige områder du bør fokusere på for å lykkes:
1. Lederskap
Lede an gjennom personlig engasjement og åpenhet, og ved å skape en kultur der sikkerhet er en integrert del av alle forretningsprosesser.
2. Opplæring og bevissthet
Pådriv for kontinuerlig læring og utvikling innen cybersikkerhet gjennom f.eks. opplæring, sertifiseringer og konferanser. Ikke glem å "walk the talk" - det er minst like viktig å snakke direkte med de ansatte.
3. Kommunikasjon og samarbeid
Bygg bro over gapet mellom tekniske og ikke-tekniske roller ved å kommunisere sikkerhetskonsepter på en forståelig måte og fremme samarbeid på tvers av avdelinger. Jobb proaktivt for å bygge sterke relasjoner med andre avdelingsledere og integrer sikkerhetstenkning i alle deler av virksomheten.
5 enkle sikkerhetstiltak for alle ansatte
Ved å etablere et minimumsnivå for kultur og sikkerhetsbevissthet, og beskrive hva hver enkelt medarbeider kan gjøre på egen hånd, opprettholder du læring på tvers av organisasjonen.
- Spør når du er i tvil. Oppmuntre de ansatte til å søke hjelp når de er usikre på hvordan de skal håndtere informasjon eller situasjoner. Dette forebygger feil og hendelser.
- Vær forsiktig med lenker. Lær bort viktigheten av å være kritisk til uventede lenker eller tilbud som er for gode til å være sanne, noe som er vanlig i phishing-forsøk.
- Håndter informasjon med respekt. Minn de ansatte på at de skal behandle all informasjon de kommer i kontakt med med den største forsiktighet og respekt.
- Bed om diskresjon. Understrek viktigheten av å ikke diskutere sensitiv informasjon i upassende sammenhenger.
- Vær kritisk til kilder. Oppmuntre til kildekritikk, og sørg for at informasjon kommer fra pålitelige kilder.
Lær deg opp på tvers av flere fagfelt
Samtidig bør du holde deg oppdatert på den nyeste utviklingen og de teknologiske fremskrittene eller nye trusler på sikkerhetsområdet. Lytt til de ansattes bekymringer, samarbeid med andre CISO-er, delta på bransjearrangementer, ta utvalgte kurs, skaff deg sertifiseringer og vær aktiv i den offentlige debatten og i faglige nettverk. Spør også andre spesialister om deres synspunkter - advokater, utviklere og SaaS-leverandører har alle innsikt som er verdifull for organisasjonen din. Det er også viktig å ikke bare lytte - men også å våge å snakke om utfordringene for å utvikle seg.
Anbefalte ressurser for kompetanseutvikling
- Podkasten Darknet Diares
- Delphis webinarer
- Utdanning via f.eks Secure State Cyber og Seadot
- ISACA-konferanser
- NEXT IT-sikkerhet
Slik går innovasjon og risiko sammen
Som CISO bør du være forberedt på å investere på flere måter for å fremme både innovasjon og sikkerhet i organisasjonen din. Begge deler går hånd i hånd - men det krever kunnskap, vilje og mot til å si "ja" i stedet for det mer komfortable "nei" som opprettholder status quo. Ved å forstå konsekvensene av ny teknologi kan du oppmuntre til innovasjon i organisasjonen, uten at det går på bekostning av sikkerheten.
Som CISO er det viktig å være involvert i innovasjonsprosesser slik at de aktuelle innovatørene ikke trenger å tenke på sikkerhet i de tidlige fasene. Sørg for å være til stede fra begynnelsen og ha rom til å utforske bruksområder, lovgivning og modenhet for å skape optimale forutsetninger for at innovatørene skal lykkes.
Ditt engasjement er avgjørende for å skape et trygt klima der nye ideer kan prøves ut på en trygg måte.
Ved å teste i liten skala og oppmuntre til en rask, iterativ utviklingsprosess er det også mulig å ta tak i utfordringer før de får konsekvenser. Ditt engasjement er avgjørende for å skape et trygt miljø der nye ideer kan testes på en trygg, etisk og ansvarlig måte.
En felles evaluering av fremgang og feil
Løpende evaluering er også viktig for kontinuerlig læring i organisasjonen. Målet er å våge å utfordre seg selv for å forstå hva man kan gjøre mer effektivt og annerledes - men også for å se hvordan andre jobber og utfordrer seg selv. Å lære av sine feil er kanskje det viktigste for rask utvikling. Se på hvilke hendelser som oppstår, og undersøk rutiner, teknologi og arbeidsmetoder for å gjøre justeringer der det er nødvendig. Ved også å tørre å snakke åpent og innsiktsfullt om eventuelle angrep som har skjedd, viser dere at dere er klar over kjente sårbarheter og hele tiden er på jakt etter nye. Vær ærlig og pragmatisk i arbeidet - det kommer dere langt med.
Vil du vite mer om hvordan Stratsys kan støtte deg i arbeidet med informasjonssikkerhet? Les mer om produktet vårt for Informasjonssikkerhet og databeskyttelse eller kontakt oss direkte.