Rollid ja vastutus infoturbe juhtimisel – CISO positsioon ettevõttes

CYBERS 23. okt. 2023

Seekordses KüberCast’i podcasti osas võtame vaatluse alla infoturbe juhtimise maailma ning uurime, milline roll on ettevõttes CISO-l ehk infoturbe juhil. Saadet juhivad Ronnie Jaanhold ja Siim Pajusaar ning külaliseks on Jüri Voronov – pikaaegsete kogemustega CISO. Siin on Sulle lugemiseks mõned olulisemad väljavõtted saatest.

Jüri Voronov

Kas infoturbejuhi rolli võiks täita ka IT-juht?

Pigem mitte. Jüri Voronov selgitab, et infoturbe juhtimine erineb oluliselt traditsioonilistest IT- ja riskijuhtimise rollidest. IT-juhid keskenduvad peamiselt oma töö tõhususele ja järjepidevusele, kuid infoturbejuhid peavad kontrollima, et kõik organisatsiooni juhid tegutseksid oma pädevusalas ja ei ohustaks infoturbe protsesse ja reeglistikku.

Infoturbe juhi ülesandeks on tuvastada riskid, viia need juhtkonna tasandile ja luua plaan nende riskide maandamiseks, samal ajal toetades ettevõtte äristrateegiat. Peamine eesmärk on ühendada erinevad osapooled, et kaitsta ettevõtte teavet ja tagada selle turvalisus. Iseenda tööd kontrollides (kui näiteks IT-juht täidab ka CISO rolli) ei pruugi tulemused alati nii kindlad olla, kuna puudub rollide lahusus.

Kas kõikidel ettevõtetel peaks olema infoturbe juht?

See sõltub sellest, millist teavet ettevõte kaitsta soovib. Väiksematele ettevõtetele võib olla  infoturbe juhtimist lihtsam sisse osta, kuid selle tellimine nõuab eelkõige ettevõtte juhtkonna teadlikkust ja valmisolekut mõista, et kui oluliseks varaks on ettevõtte andmed. Kõige raskem ülesanne CISO’l ongi on juhtkonnale selgitada, kui suuri investeeringuid ja muudatusi on taseme parendamiseks vaja teha. Praktika näitab, et enamasti ei võeta midagi ette enne, kui intsident on juba juhtunud.

Kui rääkida sellest, et milline on ühe CISO üks ebameeldivamaid teavitusi ja vastus oli üsna selge – „lunavararünnak, mille tulemusel on backupid kadunud ja andmeid pole võimalik taastada.” Selliseid potentsiaalselt väga- väga kalleid olukordi saab ennetada vaid teadliku ja järjepideva tegevusega.

CISO rolli mitu nägu

Infoturbe juhi roll on äärmiselt mitmekülgne ja nõuab sügavat arusaamist nii tehnilistest kui ka strateegilistest aspektidest. Jüri Voronov lisab mõned täiendavad faktid CISO rolli kohta:

  1. Strateegiline juhtimine: CISO vastutab infoturbe strateegia väljatöötamise eest, mis peab olema kooskõlas ettevõtte üldise äristrateegiaga. See hõlmab riskide hindamist ja prioriteetide seadmist, et tagada infoturbe tugevus ja vastavus regulatsioonidele.
  2. Tehniline tasand: Kuigi CISO ei pea olema ainult tehniline ekspert, on siiski oluline, et tal oleks sügav arusaam tehnoloogiatest ja riskidest. See võimaldab tal suhelda tõhusalt tehniliste meeskondadega ja mõista keerukaid turvariske.
  3. Kriisijuhtimine: CISO peab olema valmis juhtima hädaolukordi ja reageerima kiiresti turvalisusintsidendidele. See hõlmab plaanide koostamist, kuidas toime tulla rünnakute ja andmelekete korral.
  4. Kommunikatsioonioskus: CISO peab suutma selgitada keerulisi infoturbe kontseptsioone mitte-tehnilistele juhtidele ja teistele sidusrühmadele. Suhtlusoskus on võtmetähtsusega, et veenda juhtkonda vajalike investeeringute tegemises.

 

Selles KüberCasti episoodis kuuled veel lisaks Tesla lahtimuukimisest, peamistest probleemidest küberturbes ja kuidas näeb välja CISO tööpäev. Kuula saadet ja kirjuta meile, millest sooviksid veel kuulata!

KUULA: KüberCAST 22 | CISO positsioon ettevõttes

*Saates mainiti ära ka CERT-EE kübervaldkonna uudiskiri. Uudiskirjaga liitumise info leiad siit: CERT-EE uudiskiri

Jaga

Märksõnad

Märksõnad

Jaga

Viimased postitused

4. juuni 2024

Küberturvalisus tootmisettevõttes – väljakutsed ja õppetunnid Hanza Grupi näitel

Kiirelt areneval digiajastul seisab tootmissektor silmitsi üha suurema hulga küberjulgeoleku ohtudega. Rahvusvaheliste ning keerukate operatsioonidega ettevõtted peavad need ohud juba eos maandama, et kaitsta kriitilist infrastruktuuri. Loe blogist ja kuula saadet, kuidas Hanza Grupp sellele kõigele lähenenud on.

Loe edasi
3. juuni 2024

Märgiline sündmus küberturbes: CYBERS on ametlikult osa NEVERHACK grupist

CYBERS ühines Euroopa juhtiva küberjulgeoleku kontserniga NEVERHACK SAS, et tugevdada turupositsiooni, laiendada haaret ja pakkuda klientidele lisaväärtust.

Loe edasi
21. märts 2024

Teenusedisain ja küberturvalisus käsikäes: Tänapäeva digitaalsete lahenduste alustalad

Tänapäeva kiiresti arenevas digimaailmas on ettevõtete edu võti pakkuda mitte ainult innovaatilisi, vaid ka turvalisi teenuseid. KüberCASTi viimases osas jagas Andres Kostiv, teenusedisaini ja kasutajakogemuse ekspert, olulisi teadmisi ja näpunäiteid, kuidas integreerida küberturvalisus teenusedisaini, et luua kliendikeskseid ja turvalisi digilahendusi.

Loe edasi