Πόσα (C)ISO flavors υπάρχουν?
Θα αφήσω τους αγαστούς συναδέλφους να γράψουν και να σχολιάσουν τα περί Information Security Officer vs Chief Information Security Officer vs Chief Security Officer vs virtual Chief Information Security Officer, και θα επικεντρωθώ στο παρόν σε ένα ρόλο που ομολογώ δεν είχα αντιληφθεί ως διακριτό, πριν κάνω join τη Fortinet το Φεβρουάριο του 2024. Ο ρόλος αυτός είναι του Field CISO και τον συναντάμε συνήθως σε κατασκευαστές.

Argyris -Argy- Makrygeorgou,
SecOps BDM, GR | HU | CY,
FORTINET

Προς αποφυγήν παρεξηγήσεων, και η Fortinet, όπως και οι λοιποί κατασκευαστές, έχει CISO (τον Δρ. Καρλ Γ.) και ομάδα αυτού, με τις αρμοδιότητες να αφορούν τον Οργανισμό εσωτερικά, συνεπώς εμπίπτει στο παραδοσιακό/ παραδοσιακά αντιληπτό μοντέλο που προανέφερα (ότι δε θα σχολιάσω).
Ομοιότητες και (κυρίως) Διαφορές
Ο just CISO είναι ένα εσωτερικό στέλεχος της εταιρείας με πλήρη ευθύνη για τη στρατηγική ασφάλειας, τη διαχείριση κινδύνων και την αντιμετώπιση περιστατικών. Αντίθετα, ο Field CISO έχει το ρόλο του εξωτερικού συμβούλου κυβερνοασφάλειας, με κύριο business as usual να συμβουλεύει πελάτες, να υποστηρίζει τις πωλήσεις και να μεταφέρει τις ανάγκες της αγοράς πίσω στην ανάπτυξη των προϊόντων της εταιρείας που εκπροσωπεί.
Κάνοντάς το λίγο παραπάνω break-down, παραθέτω τη σύγκριση σε κάποια βασικά pillars:
Κύριες Ευθύνες (Main Responsibilities)
- CISO: Έχει την άμεση ευθύνη για την ασφάλεια, τον προϋπολογισμό, τη συμμόρφωση (compliance) και τις κρίσεις του οργανισμού του. Λογοδοτεί (συνήθως/ιδανικά) στον Διευθύνοντα Σύμβουλο (CEO) και το Διοικητικό Συμβούλιο.
- Field CISO: Λειτουργεί κυρίως ως σύμβουλος. Δεν έχει εσωτερική ευθύνη για τη διακυβέρνηση, τον προϋπολογισμό ή τα περιστατικά ασφάλειας των εταιρειών-πελατών που συμβουλεύει. Ανήκει συνήθως στην ομάδα Technical Marketing ή σε αντίστοιχη με συναφείς αρμοδιότητες.
Κοινό & Λειτουργία (Audience & Operations)
- CISO: Εστιάζει εσωτερικά στους υπαλλήλους, τις υποδομές πληροφορικής και τη διαχείριση των εξωτερικών προμηθευτών της εταιρείας του.
- Field CISO: Εστιάζει εξωτερικά σε υφιστάμενους ή υποψήφιους πελάτες και την αγορά. Αποτελεί το «πρόσωπο» της εταιρείας του, μιλάει σε συνέδρια, γράφει άρθρα άποψης και βοηθά την ομάδα πωλήσεων. (Χωρίς να σημαίνει ότι και οι λοιποί CISOs δεν είναι εξωστρεφείς – αναφέρομαι εδώ by Job Des)
Στόχοι & Αξιολόγηση (Objectives & Evaluation)
- CISO: Αξιολογείται με βάση την αποτροπή κυβερνοεπιθέσεων, την επιτυχία σε ελέγχους (audits) και τη θωράκιση της επιχείρησης.
- Field CISO: Συνδέεται άμεσα με τη στρατηγική marketing και πωλήσεων. Αξιολογείται από την ενίσχυση της εμπιστοσύνης στο brand και την επιρροή του στο κλείσιμο νέων εμπορικών συμφωνιών.
Τυπικές Δραστηριότητες (Typical Activities)
- CISO: Παρουσιάσεις διοικητικού συμβουλίου, εφαρμογή πολιτικών, διαχείριση εσωτερικών ομάδων και ετοιμότητα ελέγχου.
- Field CISO: Διοργάνωση εκδηλώσεων αγοράς, παροχή συμβουλών από ομότιμους και επικύρωση των δυνατοτήτων των προμηθευτών.
Πλαίσιο Καριέρας (Career Path)
- CISO: Ένας εσωτερικός ηγετικός ρόλος με επίκεντρο τη μακροπρόθεσμη στρατηγική και τη δημιουργία ανθεκτικών προγραμμάτων ασφάλειας.
- Field CISO: Συχνά αποτελεί επιλογή για πρώην CISOs που θέλουν να ξεφύγουν από το εξαντλητικό 24/7 πρόγραμμα της καθημερινής διαχείρισης κρίσεων (ψέματα λέω?), θέλοντας να μοιραστούν την εμπειρία τους με πολλές διαφορετικές εταιρείες, αξιώνοντας ένα πιο Techno-Sales ρόλο.
(Άρα) Είναι ο Field CISO «Πωλητής»?
Εδώ να αναφέρω ότι συναφής, αν όχι γενόσημος, ρόλος του Field CISO είναι ο Evangelist, που εκ προοιμίου ακροβατεί ανάμεσα στις πωλήσεις, το μάρκετινγκ, αλλά και την (παραδοσιακή) συμβουλευτική (consulting).
Συνεπώς δε μιλάμε για ένα παραδοσιακό Πωλητή/ Account Manager, που κάνει απευθείας συναλλαγές, αλλά ο ρόλος του περιλαμβάνει πειστική επικοινωνία και συγκεράζει τα παραπάνω.
Τα πλεονεκτήματα συναναστροφής του Πελάτη με τους Field CISO(s)
- Κοινή γλώσσα: Ο πελάτης μιλάει με κάποιον που έχει «καθίσει στην ίδια καρέκλα». Κατανοεί τις πιέσεις του διοικητικού συμβουλίου, τους περιορισμούς του προϋπολογισμού και τις προκλήσεις στελέχωσης.
- Σφαιρική εικόνα της αγοράς: Ο Field CISO έρχεται σε επαφή με δεκάδες οργανισμούς σε διάφορους κλάδους. Μπορεί να μεταφέρει στον πελάτη ποιες τάσεις, απειλές και στρατηγικές άμυνας λειτουργούν πραγματικά στην πράξη.
- Η φωνή του πελάτη στα εργαστήρια: Ο Field CISO λειτουργεί ως γέφυρα. Μεταφέρει τα παράπονα, τις ανάγκες και τις ιδέες του πελάτη απευθείας στους μηχανικούς (Product & Engineering) του κατασκευαστή.
- Συν-διαμόρφωση λύσεων: Ο πελάτης αποκτά τη δυνατότητα να επηρεάσει τις μελλοντικές δυνατότητες (features) των προϊόντων που αγοράζει, ώστε να εξυπηρετούν καλύτερα τις δικές του ανάγκες.
- Ενιαίο μέτωπο: Συνδέει τα απομονωμένα τμήματα (silos) του κατασκευαστή για να προσφέρει μια συνεκτική και ασφαλή εμπειρία στον πελάτη.
Outro
Τα περισσότερα πράγματα, τουλάχιστον στον κόσμο της Πληροφορικής και δει της Κυβερνοασφάλειας, είναι ένα ταξίδι (ένας μαραθώνιος στο repeat όπως συνηθίζει να αναφέρει ένα φίλος του χώρου), το οποίο οφείλουμε να το διανύσουμε τόσο με εσωτερικούς συνοδοιπόρους, αλλά και με συμμάχους αξιόπιστους Integrators, Service Providers & Κατασκευαστές, όπως τη Fortinet 😉 και τους Field CISOs αυτής (!!).
Πηγή φωτογραφίας
https://www.linkedin.com/pulse/field-ciso-trusted-advisor-strategic-asset-brand-gary-hayslip-putgc/







