Varför en CISO jobb har aldrig varit mer offentliga eller kaotiska

Den kritiska karaktären av en organisations Chief Information Security Officer roll har aldrig varit så framträdande – eller offentlig.

Det är en ung roll, historiskt sett, men inte så nytt att ett företag ska uppfinna hjulet varje gång en CISO steg upp till plattan – men, det är precis vad håller händer.

Enligt de som betalar tvångs uppmärksamhet åt CISO berättelse båge i våra moderna säkerhets dramer, trots den roll gravitation, forskning visar att de flesta CISOs har i sin roll för mindre än 12 månader. Detta hänger direkt samman med ett annat problem de unga roll ansikten: För närvarande finns det fortfarande inga branschstandarder eller mallar för CISOs att utnyttja när de rapporterar till styrelsen om säkerhetsmått.

Trey Ford, global säkerhet strateg på Rapid7, är en av dessa CISO-obsessives studerar forskning och letar efter lösningar.

Spetsen för den CISO Reporting Project, han syftar till att kristallisera CISO rapporterar beteenden, undersöka vad som verkligen händer i rad CISO permutationer, avgöra vad som går fel (och höger) i allas rapportering till styrelsen och upprätta en talan, baslinjen ögonblicksbild av CISO behöver.

Med Nicholas Percoco, Vice President, Strategic Services, Rapid7 tillkännagav Ford och presenterade preliminära CISO Project frisättning vid RSA den 20 april (PDF glider här) avslöjar resultaten av kartläggning 60 CISOs över en mängd olika branscher.

När vi ikapp med projektets laget efter deras första undersökningsomgång, frågade vi om där projektet är att se saker och ting går över styr det mesta mellan beslutsfattare, CISOs och IT / säkerhet / ingenjörer: Främst, kommunikation.

Ford förklarade: “Vi förmodligen alla vet detta, men kan inte vara fullt medvetna om det – chefer behöver tre frågor besvaras i varje interaktion vi har, särskilt i styrelserummet

Att veta din publik, och vilka ekonomiska och / eller prestationer driver respektive befattningshavare, hjälper till att informera frågor en och två. Fråga tre är den verkliga humdinger “, säger Ford.” Om du inte behöver något, varför närvarande? Om en verkställande inte bryr sig tillräckligt för att engagera eller hjälp, är du helt enkelt där för att ventilera, och berätta hur du känner? Att ha en “klar frågar” är bordsinsatser.

Meddelandet kommer nästan alltid att gå förlorade.

En del av detta är en utmaning som den relativa omognad av informationssäkerhet disciplin. Law, Politik, teknik, medicin, handel – dessa har varit i spel sedan början av mänskligheten. Finans är ett av de enklaste exemplen för att peka på – om du frågar CFO hur företaget fungerar, de har GAAP (god redovisningssed) och kan peka dig till SEC krävs formulär 10-K om företaget är offentligt innehas och handlas.

Säkerhet forskare säger sårbarheten påverkar “miljoner” av maskiner i datacenter runt om i världen.

Star Trek: 50 år av positiv futurism och fet social kommentar, Microsofts Surface allt-i-ett dator sägs rubriken oktober hårdvara lansering, Händerna på med iPhone 7, ny Apple Watch och AirPods, Google köper Apigee för $ 625.000.000

Säkerhet, nytänkande säkerhets grunderna: Hur man gå bortom FUD, Innovation, M2M marknaden studsar tillbaka i Brasilien, säkerhet, FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän, säkerhet, WordPress uppmanar användare att uppdatera? nu att åtgärda kritiska säkerhetshål

Ford tillade: “Det är extremt mogen. Nu ber CISO,” hur är vårt företags säkerhetsprogram utför? ” – Och titta på en extremt ljusa verkställande ändra färger och gripa efter halmstrån att erbjuda ett svar som du kanske relatera till “.

De flesta CISOs fortfarande navigera utan en karta, om än med fördelen av att ha utmärkta riktnings färdigheter och samhällen som vill se rollen frodas.

OWASP CISO Survey har bidragit till att lindra förvirring kring bästa praxis i 2014: s CISO slipning vakna, när slutet av året fann företagsledning frågar mer om deras säkerhet program, och hur de kan undvika att se sitt varumärke sida vid sida med Nieman Marcus, Target och Sony.

Ford berättade hemsida, “2014 undervisade allmänheten om hur viktigt det arbete vi gör egentligen är, särskilt i vad som fångar uppmärksamheten hos allmänheten. I slutet av förra året såg jag mer forskare och praktiker som utnyttjas med verkställande roller, befordrad till CISO positioner för att leda säkerhet för bolaget på ett formellt sätt. ”

Den CISO Reporting Project undersökningar är bara början. Ford berättade webbplats som en whitepaper är på gång efter undersökningen rensar 100 icke-INFOSEC specifika CISO svar. “Vi strävar efter att bygga en ram för en mer enhetlig rapportering av CISOs”, sade han. “Vår plan är att bygga resurser för att hjälpa första gången CISOs komma igång, samtidigt som det hjälper närvarande en enad front hela branschen till företagsledning.

Med en ny hacka attack sken att träffa rubriker varje dag, ju förr desto bättre.

Under tiden, berätta för dina CISO vänner, din CISO i lag, eller din väns kusin CISO att ta enkäten här: bit.ly/CISOSurvey2015 (det tar bara 15 minuter).

Re-thinking säkerhets grunderna: Hur man gå bortom FUD

? M2M marknaden studsar tillbaka i Brasilien

FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän

WordPress uppmanar användare att uppdatera nu för att åtgärda kritiska säkerhetshål