Artigo bem interessante que aborda um comparativo das responsabilidades de um CISO/CSO entre 2003 e 2013. Este artigo faz uma análise bem interessante a respeito da evolução e velocidade que a mudança da tecnologia tem impactado nas organizações de forma tão rápida. Lembro que na época eu trabalhava para um banco americano e uma das maiores preocupações era manter o ambiente atualizado com os últimos patchs de segurança, pois grande parte do ambiente era Windows e um pequena parte Linux e Unix e um vacilo poderia colocar seu ambiente de negócio em risco e rapidamente os crackers exploravam as falhas de segurança por falta de um patch de segurança ou uma configuração de segurança não aplicada no sistema operacional ou serviço específico.
Um pouco mais tarde a atenção ficou para os ataques de DDoS (Distributed Denial of Service) em servidores web e o surgimento de algumas novas formas de roubo de informações por meio de arquivos infectados, etc. Passados 10 anos este cenário mudou e os invasores desenvolveram novas formas de exploração, com a consumerizacão da TI, BYOD, ameaças em smartphones, IOS, Cloud, Tablet, Android, spear phishing, explorações de SQL Injection e CSS (Cross Site Scripting), entre outras. A necessidade de atualização para estas novas tecnologias tem exigido do CISO/CSO uma atenção essencial para a sua posição.
Dado que a visão clara e articulada do processo de gerenciamento de risco não muda, o segredo é incluir estas novas demandas dentro deste processo, olhando de maneira flexível, entendendo as necessidades de negócio da sua organização, estreitando um bom relacionamento com os stakeholders e iniciar um ciclo de confiança com o senior management são algumas das estratégias para o CISO e CSO.
Para não quebrar a sinópse desta matéria sugiro que continue sua leitura no artigo escrito por Todd Fitzgerald.
Link do artigo: http://www.infosecurity-magazine.com/view/36236/ciso-then-2003-and-ciso-now-2013/
The CISO of 2013 and the future must embrace the fact that the real job of the CISO is to clearly articulate the risk to the business, provide options, and manage the residual risk. The data perimeter has moved beyond just the USB drive into the cloud, tablets, smartphones, automobiles, home automation, and even our future eyewear.
Um pouco mais tarde a atenção ficou para os ataques de DDoS (Distributed Denial of Service) em servidores web e o surgimento de algumas novas formas de roubo de informações por meio de arquivos infectados, etc. Passados 10 anos este cenário mudou e os invasores desenvolveram novas formas de exploração, com a consumerizacão da TI, BYOD, ameaças em smartphones, IOS, Cloud, Tablet, Android, spear phishing, explorações de SQL Injection e CSS (Cross Site Scripting), entre outras. A necessidade de atualização para estas novas tecnologias tem exigido do CISO/CSO uma atenção essencial para a sua posição.
Dado que a visão clara e articulada do processo de gerenciamento de risco não muda, o segredo é incluir estas novas demandas dentro deste processo, olhando de maneira flexível, entendendo as necessidades de negócio da sua organização, estreitando um bom relacionamento com os stakeholders e iniciar um ciclo de confiança com o senior management são algumas das estratégias para o CISO e CSO.
Para não quebrar a sinópse desta matéria sugiro que continue sua leitura no artigo escrito por Todd Fitzgerald.
Link do artigo: http://www.infosecurity-magazine.com/view/36236/ciso-then-2003-and-ciso-now-2013/
The CISO of 2013 and the future must embrace the fact that the real job of the CISO is to clearly articulate the risk to the business, provide options, and manage the residual risk. The data perimeter has moved beyond just the USB drive into the cloud, tablets, smartphones, automobiles, home automation, and even our future eyewear.
CISO Then (2003) and CISO Now (2013)
Comentários
Postar um comentário