Dataöverträdelser kommer inte att gå iväg. Med hot från nationella stater, kriminella organisationer och grupper som Anonym i uppgången ser vi fler VD som erkänner behovet av att anställa en Chief Information Security Officer (CISO) för att driva informationssäkerhet och riskstrategi.

Nyligen högprofilerade överträdelser har framhävt behovet av bättre informationssäkerhet medvetenhet från den genomsnittliga arbetstagaren till styrelsen. Men vad behöver vi veta om CISO: s roll? Vi pratade med Bob West, Chief Trust Officer på CipherCloud, för att ta reda på hans tankar.

TechRadar Pro: I ett företag borde säkerhet och IT sitta under samma paraply?

Bob West: Generellt nej, men det beror på storleken på organisationen och sminken hos den tekniska personalen. Det kan vara vettigt för ett företag med 1000 personer att ha IT och säkerhet inom samma grupp. Men det är vettigt för större företag att skilja ut roller och lag för skalningsändamål.

I slutet av dagen är ansvaret fundamentalt annorlunda. Säkerheten skyddar organisationens tillgångar. Det ger input till de tekniska besluten och de möjliga riskerna som företaget står inför. IT levererar teknologilösningar.

TRP: Vad är rollen som en CISO?

BW: CISO uppmanar verkställande laget om hur organisationen behöver uppfylla de olika säkerhets- och sekretesskraven för att göra affärer i sin givna bransch och verksamhetsområden. CISO övervakar ett team som tillsammans har en 360 graders syn på riskerna inför företaget och inför den nödvändiga säkerhetstekniken och processerna för att minimera riskerna för organisationen.

TRP: Hur jämför CISO: s roll med en CIO?

BW: Ovan täckte vi rollen som CISO. Det finns några överlappande områden med CIO, som driver teknikstrategi. Till exempel, när teknikkoncernen fattar ett köpbeslut, måste säkerhetsgruppen dras in för att väcka tekniken ur säkerhetssynpunkt.

TRP: Hur viktigt är CISO-rollen idag?

BW: Rollen växer i vikt med alla säkerhetsbrott och identifierade säkerhetsproblem. Truslerna har varit mycket mer aggressiva och sträcker sig från nationstater till kriminella organisationer.

TRP: Bör varje organisation ha en CISO?

BW: Som jag påpekade i mitt svar på den första frågan kanske SMB inte behöver en särskild CISO. I sådana fall kan det vara tillfredsställande för CIO att även ha på sig CISO-hatten och han / hon kan ha en konsult för att ge vägledning på deltid.

TRP: Var avsaknaden av en CISO en viktig bidragande faktor till den ökända Target data breach?

BW: Det är inte lätt att förstå varför en organisation av Targets storlek inte anställde en CISO vid den tiden, men utan en, är det mycket svårt att säkerställa att informationen skyddas konsekvent över företaget.

TRP: Vad kan andra organisationer göra för att förhindra en upprepning av en liknande överträdelse?

BW: Se till att det finns säkerhetsledarskap och rätt personalnivå och budget så informationen kan skyddas ordentligt. Politik som klart kan förstås måste skrivas för att styra hela organisationen. Alla bör förstå vad de behöver göra för att skydda information som en del av deras dagliga roll. Skydda information kräver rätt kombination av människor, process och teknik.

TRP: Vad kan företag göra nu för att förbättra deras molnesäkerhet oavsett infrastruktur de har?

BW: Den största risken i molnet är att företag antingen tror att molnleverantörer har säkerhet eller att det inte finns några lösningar för molnsäkerhet. Vid den tidigare punkten har stora molnleverantörer byggt upp robust nätverks- och infrastrukturskydd. När det gäller e-post har Google och Microsoft exempelvis implementerat SSL-kryptering för att skydda data vid transportlagret och det är mycket användbart.

Men att skydda data i sig går ett steg längre och är ett måste för företag i det nuvarande affärsklimatet. Några av dessa kontroller för moln innefattar programupptäckt, kryptering, tokenisering som maskeringsalternativ, förebyggande av dataförlust för att ställa in och tillämpa policyer och övervakning för att förstå ovanlig aktivitet.