Các nhà lãnh đạo CNTT trên khắp Vương quốc Anh và Ireland ngày càng nhận thức được giá trị mà các giám đốc an ninh thông tin (CISO) chuyên trách có thể mang lại cho tổ chức của họ và 73% hiện cho biết họ đã đảm nhận vai trò đó, tăng 35% so với cùng kỳ năm ngoái, với 15% dự định thuê từ nay đến năm 2026.
Tuy nhiên, theo dữ liệu mới được công bố ngày hôm nay bởi nhà điều hành nền tảng đám mây biên Fastly, các nhà lãnh đạo CNTT vẫn chưa hiểu đầy đủ về vai trò của CISO. Trong khi 35% hiện tin rằng CISO rất quan trọng để giữ an toàn cho doanh nghiệp trước các mối đe dọa trên mạng, thì 27% cho biết về cơ bản, họ ở đó để đóng vai trò là vật tế thần trong những tình huống khó khăn.
Một con số tương tự, 23%, cảm thấy CISO đang được giao quá nhiều trách nhiệm pháp lý và hoạt động, có khả năng gây ra xung đột với các bộ phận khác và 39% tin rằng họ cần có hiểu biết sâu sắc về tất cả các lĩnh vực CNTT, không chỉ mạng. an ninh, mặc dù điều này đã giảm từ năm 2022.
Ngoài ra, 24% tin rằng CISO vừa làm việc quá sức vừa được trả lương thấp, nhưng 18% tin rằng vai trò này mang lại giá trị đồng tiền kém.
Fastly CISO Marshall Erwin cho biết: “Đối mặt và cố gắng lập kế hoạch cho những thách thức an ninh mạng chưa từng có vào năm 2024, các doanh nghiệp Vương quốc Anh đã nỗ lực thuê một chuyên gia có khả năng phụ trách chiến lược an ninh mạng”. “Mặc dù vậy, dữ liệu của chúng tôi cho thấy vẫn còn tồn tại sự nhầm lẫn về vai trò thực sự của CISO. Sự khác biệt về quan điểm này nêu bật vai trò của nó đã phát triển như thế nào trong những năm gần đây, đặc biệt là với những thách thức đối với tình hình an ninh của các tổ chức và bối cảnh mối đe dọa ngày càng gia tăng.”
Ông nói rằng theo truyền thống, CISO chỉ giới hạn trong lĩnh vực CNTT và quản lý rủi ro, nhưng nhận thức về vai trò này hiện đang bùng nổ, với việc các nhà lãnh đạo an ninh ngày càng được coi là những nhà lãnh đạo doanh nghiệp chịu trách nhiệm định hướng chiến lược cho các chiến lược mạng kinh doanh – có thể là nơi mà nảy sinh sự thiếu hiểu biết.
Erwin cho biết: “Trong vòng hai năm, phần lớn các doanh nghiệp ở Vương quốc Anh và Ireland sẽ đảm nhận vai trò CISO. “Để họ làm việc hiệu quả, rõ ràng các tổ chức cần phát triển sự hiểu biết sâu sắc hơn về vai trò của các bộ phận CNTT.”
Vấn đề lâu năm
Sự mất kết nối giữa những gì CISO thực sự làm và những gì tổ chức của họ mong đợi ở họ đã trở thành một vấn đề lâu năm khi vai trò này ngày càng nổi bật, với sự liên lạc giữa các nhà lãnh đạo an ninh và các bộ phận khác, ít hiểu biết hơn trong doanh nghiệp – đặc biệt là hội đồng quản trị công ty – một yếu tố thường xuyên cản trở nhiều hơn nữa. sự hiểu biết.
Một báo cáo khác gần đây do Ninjio, một chuyên gia đào tạo, thử nghiệm và báo cáo trên mạng biên soạn, đã đưa ra ba bước chính để CISO thực hiện để nắm bắt thế chủ động và cố gắng thu hẹp khoảng cách này bằng cách tăng cường giáo dục bảo mật.
Dữ liệu của Ninjio tiết lộ rằng 58% CISO đang gặp khó khăn trong việc truyền đạt ngôn ngữ kỹ thuật theo cách mà lãnh đạo cấp cao có thể hiểu được, vì vậy bước đầu tiên để khắc phục điều này là trình bày các khái niệm mạng thiết yếu bằng ngôn ngữ dễ hiểu. Đặc biệt, CISO có thể dựa vào hậu quả thực tế của các cuộc tấn công mạng, dựa vào chi phí tài chính, mối đe dọa mất khách hàng, thiệt hại về danh tiếng thương hiệu, v.v.
Với gần 75% các vụ vi phạm thành công liên quan đến yếu tố con người, CISO cũng nên cố gắng tận dụng các công cụ đánh giá an ninh mạng (CSAT), triển khai chúng một cách chiến lược để cho các lãnh đạo doanh nghiệp – và cả nhân viên thường xuyên – biết những chiến thuật nào có thể được sử dụng đối với họ. các tác nhân đe dọa và trao quyền cho họ làm nhiều việc hơn sau lưng họ.
Bước thứ ba là ưu tiên trách nhiệm giải trình để xây dựng sự hỗ trợ bền vững cho vấn đề an ninh trong tổ chức. Vì bối cảnh mối đe dọa không ngừng phát triển nên nhận thức về bảo mật không thể được coi là một bài tập đánh dấu ô và nhiều người ở đầu nhận có thể nhanh chóng quên những gì họ đã học được. Việc củng cố và thử nghiệm liên tục có thể giúp giải quyết vấn đề này.
Shaun McAlmont, Giám đốc điều hành Ninjio cho biết: “Mục tiêu cuối cùng của bất kỳ chương trình nâng cao nhận thức về an ninh mạng nào là thiết lập văn hóa an ninh mạng. “Từ kinh nghiệm của tôi với tư cách là nhà lãnh đạo điều hành trong ngành giáo dục và an ninh, tôi đã học được hai khía cạnh quan trọng để có được sự đồng tình ở cấp hội đồng quản trị: trình bày rõ ràng mục tiêu cuối cùng, sau đó giải thích cách đo lường tiến độ và thành công.
“Gần đây, chúng tôi nhận thấy sự gia tăng trong số các hội đồng ưu tiên sự an toàn chung của công ty họ; và khi họ tăng cường đầu tư vào an ninh mạng, nhiệm vụ của CISO là giúp họ sử dụng tài nguyên một cách tốt nhất có thể,” ông nói.