Vikten av proaktivitet och kontinuerligt lärande är avgörande för att hålla sig ajour med den senaste utvecklingen inom informationssäkerhet. Samtidigt är det nödvändigt att göra misstag och lära sig av sina svagheter för att bedriva ett löpande förbättringsarbete i organisationen. Så här bör du som CISO tänka för att framtidssäkra din informationssäkerhet.
Den mänskliga styrkan för informationssäkerhet
Människans naturliga och ofta positiva egenskaper kan inom informationssäkerhet bli potentiella svagheter. Vår vilja att hjälpa kan till exempel omedvetet underlätta obehörig åtkomst, medan vår nyfikenhet och sociala natur kan leda till att vi oavsiktligt avslöjar känslig information, eller interagerar med skadlig kod.
Ett kontinuerligt lärande och förbättringsarbete inom informationssäkerhet är därför viktigt för att ge hela organisationen de kunskaper och verktyg som krävs så att ni proaktivt kan identifiera och hantera säkerhetsrisker. Genom att stärka medarbetarnas förmåga att agera säkert blir de inte den svagaste länken, utan en avgörande del av säkerhetsstrategin och en viktig pusselbit i en stark säkerhetskultur.
CISO:ns roll i det kontinuerliga lärandet
Många organisationer har utmaningar med att få med hela verksamheten i arbetet. Ofta sitter CISO med operationella uppgifter och detaljfrågor som begränsar delaktigheten i medarbetarnas vardag. För att stärka organisationen är det ditt ansvar att driva lärandet kring informationssäkerheten, genom att ständigt vara nyfiken, öppen och låta arbetet genomsyras av en vilja att hjälpa dina kollegor. Här är tre viktiga områden att satsa på för att lyckas:
Ledarskap
Visa vägen genom personligt engagemang och öppenhet, och genom att skapa en kultur där säkerhet är en integrerad del av alla affärsprocesser.
Utbildning och medvetenhet
Pusha för kontinuerligt lärande och utveckling inom cybersäkerhet genom t.ex. utbildningar, certifieringar och konferenser. Glöm heller inte bort att “walk the talk” – att prata direkt med medarbetarna är minst lika viktigt.
Kommunikation och samarbete
Överbrygg klyftan mellan tekniska och icke-tekniska roller genom att kommunicera säkerhetskoncept på ett begripligt sätt och främja samarbete över avdelningsgränserna. Arbeta proaktivt för att skapa starka relationer med andra avdelningschefer och integrera säkerhetstänkandet i alla verksamhetsområden.
5 enkla säkerhetsåtgärder för varje medarbetare
Genom att etablera en miniminivå av kultur och säkerhetsmedvetenhet, och beskriva vad varje medarbetare kan göra på egen hand, upprätthåller du lärandet i hela organisationen.
- Fråga vid osäkerhet. Uppmuntra medarbetarna att ta hjälp när de är osäkra på hur de ska hantera information eller situationer. Detta förhindrar misstag och incidenter.
- Var försiktig med länkar. Lär ut vikten av att vara kritisk till oväntade länkar eller erbjudanden som är för bra för att vara sanna, vilket är vanligt i phishing-försök.
- Hantera information respektfullt. Påminn om att hantera all information medarbetarna kommer i kontakt med med största omsorg och respekt.
- Måna om diskretion. Betona vikten av att inte diskutera känslig information i olämpliga sammanhang.
- Var källkritisk. Uppmuntra till källkritik och säkerställ att information kommer från pålitliga källor.
Utbilda dig över flera områden
Samtidigt bör du hålla dig själv uppdaterad inom senaste utvecklingen och tekniska framsteg eller nya hot inom säkerhetsområdet. Lyssna på medarbetarnas oro, samarbeta med andra CISOs, delta i branschevenemang, läs utvalda kurser, ta certifieringar och var aktiv i samhällsdebatten och professionella nätverk. Hör även med andra specialister om hur de ser på området – såväl jurister som utvecklare och SaaS-leverantörer har insikter som är värdefulla för din organisation. Det är också viktigt att inte bara lyssna – utan även att själv våga prata om era utmaningar för att utvecklas.
Rekommenderade resurser för kompetensutveckling
- Podcasten Darknet Diares
- Delphis webbinarier
- Utbildning via t.ex. Secure State Cyber och Seadot
- ISACA-konferenserna
- NEXT IT-security
Så hör innovation och risk ihop
Som CISO bör du vara beredd att satsa på flera sätt för att främja både innovation och säkerhet inom din organisation. Båda delarna går hand i hand – men det kräver kunskap, vilja och mod att säga "ja" istället för det bekvämare "nej” som upprätthåller status quo. Med insikten i vilka konsekvenser som kommer med ny teknik kan du uppmuntra innovation i organisationen, utan att kompromissa med säkerheten.
Att som CISO vara delaktig i innovationsprocesser är viktigt för att innovatörerna ifråga ska slippa tänka på säkerhet i de tidiga faserna. Se till att vara närvarande redan från början och få utrymme att undersöka tillämpningsområden, lagstiftning och mognad för att skapa optimala förutsättningar för innovatörerna att kunna bli framgångsrika.
Ditt engagemang är avgörande för att skapa ett säkert klimat där nya idéer kan prövas tryggt..
Genom att testa i liten skala och uppmuntra till en snabb, iterativ utvecklingsprocess går det också att hantera utmaningarna innan de orsakar konsekvenser. Ditt engagemang är avgörande för att skapa ett säkert klimat där nya idéer kan prövas tryggt, etiskt och ansvarsfullt.
En gemensam utvärdering av framsteg och misstag
Även kontinuerlig utvärdering är viktigt för det ständiga lärandet i organisationen. Målet är att våga utmana sig själv för att förstå vad man kan göra mer effektivt och annorlunda – men också att se hur andra arbetar och utmanar sig själva. Att lära sig av sina misstag är kanske det viktigaste för snabb utveckling. Se till vilka incidenter som inträffar och undersök såväl rutiner, teknik som arbetssätt för att göra justeringar där det behövs. Genom att också våga prata öppet och insiktsfullt om eventuella attacker som inträffat visar ni att ni är medvetna om era kända sårbarheter och ständigt letar nya. Var ärlig och pragmatisk kring arbetet – det kommer ni långt med.
Vill du veta mer om hur Stratsys kan stötta er i ert informationssäkerhetsarbete? Läs mer om vår produkt Informationssäkerhet & dataskydd eller kontakta oss direkt.