Varför 2024 blir utställningsledningens år

Christine är Chief Information Security Officer på Med försäkring.

“Sann styrka är modet att erkänna våra svagheter”, skrev han. Simon Sinek.

Sinek är författare och talare. Men jag skulle nog ha en ganska bra karriär som CISO. Låt mig förklara varför.

Den digitala papperskorgen

Internets födelse har lett till att digital teknik sipprar in i nästan alla aspekter av våra liv och företag. Speciellt sedan lanseringen av Facebook 2004 har vi sett årtionden av ny teknik som ofta börjar som “sociala” applikationer men snabbt tar kommersiella funktioner och blir väsentliga delar av onlineekonomin.

I takt med att användarna har anpassat sig till den ena nya applikationen efter den andra har organisationer blivit ganska bra på att skaffa, använda och integrera ny teknik. Förfrågningar “lämnade också byggnaden”. I takt med att as-a-service-modellen blir modellen, flödar mer och mer av vår data in i någon annans moln och är föremål för någon annans skydd.

Men vi har generellt sett blivit ganska dåliga på att ogilla de gamla. Resultatet är en sorts digital soptunna av teknologier, som alla tjänade ett syfte på en tid och plats (och kanske fortfarande gör det för vissa anställda), staplade ovanpå varandra.

Ta din telefon till exempel.

Du kan snabbt hitta flera, om inte dussintals, appar som du inte har använt på flera månader. Men glöm all programvara du inte kommer ihåg att du installerade och titta bara på meddelandeappar. I företagsmiljöer är det inte ovanligt att hitta applikationer som organisationen fortfarande betalar för men som inte längre används. Detta ökar inte bara organisationens attackyta utan ökar också kostnaderna.

Du (eller dina kollegor) har förmodligen WhatsApp, Signal och Messenger, för att inte tala om andra appar som tillåter direktmeddelanden, från LinkedIn till X (tidigare Twitter). Och så finns det klassikerna: SMS, e-post och röstbrevlåda.

Vi har blivit ganska skickliga på att anpassa oss till ny teknik när de dyker upp. Och resultatet är en komplexitet som utökar omfattningen av cybersäkerhet och gör hanteringen ganska komplicerad.

Och det är bara teknologier; Kom inte ens igång med hur dåliga vi är på att radera data. Detta resulterar i energi och pengar som spenderas på insatser som skulle vara onödiga om vi bara kastade något.

Ingen ogenomtränglig organisation

För att hantera denna teknikuppbyggnad har mogna organisationer sin egen styrning och ledning av informationssäkerhet. De har policyer och möjligen till och med mått som mäter och, idealiskt, proaktivt förbättrar deras säkerhet.

Men samtidigt fortsätter hotaktörer att leta efter dina svagaste punkter, eftersom det bara behövs en attackväg för att få kronjuvelerna. Och en sak som angripare vet bättre än någon annan är att det inte finns något sådant som en ogenomtränglig organisation; Det beror bara på hur mycket du är villig att spendera för att infiltrera den.

Det är därför vi höjer vår övergripande säkerhetsställning och höjer ribban där och när vi kan. Som en bieffekt är många av dessa säkerhetshål praktiskt taget lappade. Därför blir det svårare för angripare att lyckas med sina attacker.

Men denna process är dyr och tidskrävande, och en organisation har gränser för hur mycket den kan spendera på säkerhet. En organisation finns ju inte till för att skydda sig själv. Därför blir säkerhet en övning i riskhantering.

Titta till exempel på NIST:s Cybersecurity Framework 2.0. Lägg märke till det stora antalet element du skulle behöva implementera för att uppfylla det exakta ramverket. Jag säger inte att de alla ska implementeras, men även att ta på sig en bråkdel av riktlinjerna är betungande för organisationer, särskilt om en organisation inte har ett stort team för cybersäkerhet.

Frågan handlar snabbt om finansiering. Om du inte har mycket pengar i din budget, hur skulle du då ställa dig till att försvara din organisation med vetskapen om att du förmodligen har ett visst ansvar och att det finns mycket mer att göra än vad du kan resurser?

Svaret skulle vara enkelt om det inte fanns några hotaktörer, men om det inte finns några hotaktörer skulle vi inte behöva säkra någonting. Då kunde vi alla fokusera på att lära oss sällskapsdans samtidigt som vi samtalar på nya språk. Men det är inte verkligheten.

Omfamna exponeringshantering

Det är här exponeringshantering kommer in i bilden.

Detta tillvägagångssätt erkänner verkligheten att en organisation inte har budget för att skydda allt. Därför är dess mål att optimera dina ansträngningar genom att fokusera på de områden du verkligen behöver försvara.

Den genomsnittliga organisationen har hundratals, om inte tusentals, sårbarheter att åtgärda. De människor som har till uppgift att åtgärda dessa säkerhetshål står i allt högre grad inför maskiner som kan skanna din organisations svagheter mycket snabbare än de kan åtgärdas. En organisation kan också välja att ta genvägar tidigt i sitt liv för att nå ett mål snabbare och offra säkerhet, för att sedan betala för det senare.

Exponeringshantering handlar om att optimera din väg till skydd. Målet är att identifiera dina svagaste områden och ta itu med dem först. Det handlar om att hjälpa dig att prioritera. För om du inte kan täcka alla policyer och spåra dem med statistik, så täcker du åtminstone områden som angripare potentiellt kan se.

Detta kan börja med att ta en ögonblicksbild av din externa säkerhetsställning. Förutom att undersöka din organisation för att se vilka hotaktörer sannolikt kommer att göra, kan du till och med låta röda teammedlemmar utföra offensiva cybersäkerhetsmetoder för att upptäcka var de svagaste vägarna till din organisation leder.

Det som är bra med detta är att när man upptäcker vad dessa vägar är avslöjar man var angripare potentiellt kan påverka organisationen. Även med begränsad tid eller bandbredd kan du nu täppa till hål innan du skapar dina policyer och höja din cybersäkerhetsställning från grunden.

Så fort du känner till dina svagheter och har börjat anstränga dig för att minska dem kommer du att ha blivit starkare och mer motståndskraftig. Och det är vad utställningsledning handlar om.


Forbes Technology Council är en inbjudningsgemenskap för CIO:er, CTO:er och teknikchefer i världsklass. Kvalificerar jag mig?


Leave a Reply

Your email address will not be published. Required fields are marked *