নিরাপত্তার দায়িত্ব নেওয়ার জন্য CISO-দের ব্যাকিং দরকার

প্লেটো দ্বারা প্রকাশিত

অনুসরণকারী: 0

সিকিউরিটি প্লাটোব্লকচেন ডেটা ইন্টেলিজেন্সের দায়িত্ব নেওয়ার জন্য CISO-দের ব্যাকিং দরকার। উল্লম্ব অনুসন্ধান. আ.

একটি মতে সাম্প্রতিক প্রতিবেদন, Fortune 5 কোম্পানির মধ্যে মাত্র 100টি শীর্ষ ব্যবস্থাপনার তালিকা করার সময় তাদের নিরাপত্তার প্রধান গণনা করে।

সার্জারির CISO ভূমিকা এবং প্রভাবের সাথে এর সম্পর্ক এবং প্রভাব সবসময় কর্পোরেট পুরানো গার্ড সঙ্গে একটি নাচ হয়েছে. সিআইএসওর কি সত্যিকার অর্থে কোনো লাইন-অফ-বিজনেস এক্সিকিউটিভকে ঝুঁকিপূর্ণ কিছু করা থেকে বিরত রাখার অধিকার আছে? এবং CISO চেষ্টা করলে, হবে CISO সিইওর কাছ থেকে সমর্থন পান এবং অন্যদের?

সাম্প্রতিক লিংকডইন আলোচনা ডেরেক অ্যান্ড্রুস দ্বারা শুরু হয়েছে, সাইবারসিকিউরিটি অপারেশনের পরিচালক এবং একটি বৃহৎ অলাভজনক সংস্থার জন্য ঘটনা প্রতিক্রিয়া যা তিনি বলেছিলেন যে তিনি বরং সনাক্ত করবেন না, ভয়টি বেশ ভালভাবে ধারণ করেছেন।

“সিআইএসওর ভূমিকা আসলে সঠিক সময়ে পতন নেওয়ার ব্যক্তি হওয়া ছাড়া অন্য কিছুর প্রধান নয়। সিআইএসওরা সিইওর অভ্যন্তরীণ বৃত্তে নেই। তারা চতুর্থ রিং আউট মত. এর মানে হল যে নিরাপত্তা বিক্রয়কে সত্যিকারের সাংগঠনিক অনুমোদন পাওয়ার আগে আরও তিনটির মধ্য দিয়ে যেতে হবে এবং ততক্ষণে, এটি আরও ফিশিং প্রশিক্ষণের জন্য জলাবদ্ধ হয়ে গেছে,” অ্যান্ড্রুজ লিখেছেন।

অ্যান্ড্রুস তখন একটি সমালোচনামূলক প্রশ্ন উত্থাপন করেছিলেন: কেন উদ্যোগগুলি প্রতিটি ব্যবসায়িক ইউনিটকে তাদের নিজস্ব সিদ্ধান্ত নিতে দেয় যদি কিছু অতিরিক্ত ঝুঁকিপূর্ণ হয়, CISO এর পরিবর্তে?

“আমি এমন কোনও জায়গা দেখিনি যা প্রতিটি ব্যবসায়িক ইউনিটকে নিজস্ব নেটওয়ার্ক চালানোর অনুমতি দেয়। তাহলে কেন আমরা বিপণনে কাউকে সাইবার ঝুঁকি গ্রহণ করার অনুমতি দিচ্ছি যা প্রতিষ্ঠানের প্রতিটি ব্যবসায়িক ইউনিটকে প্রভাবিত করতে পারে? স্বীকৃতি মানে মালিকানা এবং আমরা সবাই জানি যে সাইবার ঝুঁকি গ্রহণকারী ব্যবসায়িক ইউনিটগুলিতে জবাবদিহিতা আসে না। এটি CISO যে পতন নেয়," অ্যান্ড্রুজ লিখেছেন. “আর্থিক ঝুঁকি এবং কর্মক্ষমতার ক্ষেত্রে সিএফওর চূড়ান্ত কর্তৃত্ব রয়েছে। আপনি কখনই একজন সিএফওকে বলতে শুনবেন না 'ঠিক আছে, আপনি যদি ঝুঁকি গ্রহণ করেন তবে আপনি এটি করতে পারেন।' এটা তারা কিছু না. প্রধান হিসাবে তারা চূড়ান্ত কর্তৃপক্ষ এবং তাদের ডোমেনের অধীনে সমস্ত কিছুর জন্য দায়বদ্ধ।”

লিডারশিপ লিঙ্গো শিখুন

কেন এন্টারপ্রাইজগুলি তাদের সিআইএসওগুলিকে অন্যান্য সি-লেভেল এক্সিকিউটিভদের তুলনায় এত কম ক্ষমতা দেয়? এটি শুধুমাত্র এন্টারপ্রাইজ সাইবার নিরাপত্তা কৌশলকে দুর্বল করে না। এটি নিরাপত্তা ভঙ্গি আরও কমিয়ে দেওয়ার পরোক্ষ প্রভাব ফেলতে পারে, কারণ CISO গুলি বন্দুক-লজ্জাজনক হয়ে ওঠে যে তারা ওভাররাইড করা হবে এবং সবুজ আলোর প্রচেষ্টা শুরু করবে যা তারা জানে যে অনুমোদন করা উচিত নয়।

বারাক এঙ্গেল, নিরাপত্তা সংস্থা EAmmune-এর সিইও এবং লেখক কেন CISOs ব্যর্থ হয়, যুক্তি দেয় যে এই সমস্যাটির বেশিরভাগই ওয়াল স্ট্রিট এবং অন্যান্য বাজার শক্তির কারণে। যখন বড় নিরাপত্তা লঙ্ঘন ঘোষণা করা হয়, কোম্পানিগুলি কখনও কখনও তাদের স্টকের মূল্য হ্রাস দেখতে পায়, তবে এটি প্রায় সবসময়ই খুব অস্থায়ী।

“লঙ্ঘনের দীর্ঘমেয়াদী নেতিবাচক প্রভাব নেই। স্টক দাম মোটামুটি দ্রুত পুনরুদ্ধার," Engel বলেছেন. “সিইও টেকঅ্যাওয়ে হল যে নিরাপত্তা প্রথম কয়েক মাস পরে কোন ব্যাপার না. কিন্তু সিআইএসওরা এটিকে সত্যিই ভীতিকর হিসেবে আঁকেন এবং সিইওরা সন্দিহান।"

যদিও এটি অনেকবার বলা হয়েছে, এঙ্গেল বজায় রেখেছেন যে এটি ফিরে আসে সিআইএসও কার্যকরভাবে যোগাযোগ করছে না বিশুদ্ধ ব্যবসায়িক পরিভাষায় সিইও - এবং ব্যবসায়িক ইউনিট প্রধানদের কাছে। “শুধু একবার আমি একটি CISO শব্দটি 'ক্যাশফ্লো' ব্যবহার শুনতে চাই। আমরা যদি আপনার কাছ থেকে যা শুনি তা ভীতিকর গল্প হয়, তাহলে আপনি সি-লেভেল বলতে কী বোঝায় তা শিখেনি। আপনি ব্যবসার ভাষা গ্রহণ করেননি,” তিনি বলেছেন।

বিজনেস বাই-ইন তৈরি করুন

সমস্যার আরেকটি অংশ হল আপেক্ষিক নতুনত্ব, অন্তত সিইওর কৌশলগত প্লেটেসাইবার নিরাপত্তার। ফরচুন 500 কোম্পানির সিইও স্যুটটি আইনি, আর্থিক, এইচআর, আইআর, কমপ্লায়েন্স এবং অন্যান্য ব্যবসায়িক ইউনিটের মধ্যে বিদ্যমান ঝুঁকি এবং অনিশ্চয়তা সম্পর্কে বোঝার এবং স্বাচ্ছন্দ্য লাভ করার অভিজ্ঞতা অর্জন করেছে। কিন্তু সাইবার নিরাপত্তা ঝুঁকি অনেক সিইওর কাছে বিশ্রী এবং আয়ত্ত করা কঠিন বলে মনে হয়।

এনটিটি অস্ট্রেলিয়ার সাইবার সিকিউরিটির ডিরেক্টর ডার্ক হজসন বলেছেন, "বেশিরভাগ ব্যবসায়িক ঝুঁকি স্থির, কিন্তু সাইবার ঝুঁকি একেবারেই নয়।" "সাইবার নিরাপত্তায়, ঝুঁকিগুলি সর্বজনীনভাবে সম্মত বা স্পষ্ট নয়। এটি একটি ব্যবসায়িক প্রেক্ষাপটে দুর্বল যোগাযোগের মতো CISO-এর অসম্মান নাও হতে পারে। সাইবার নিরাপত্তা এবং অন্যান্য ব্যবসায়িক ইউনিটের মধ্যে প্রত্যাশার একটি মৌলিক পার্থক্য রয়েছে। যতক্ষণ না আমরা এটি ঠিক করব, আমরা একই জায়গায় আটকে থাকব।”

অলিভার তাভাকোলি, ভেক্ট্রা এআই-এর CTO, যুক্তি দেন যে সাইবার নিরাপত্তার প্রকৃতি নিজেই এই সমস্যার কারণ। যদিও CISO বিভিন্ন বিষয়ে শীর্ষ নির্বাহীদের নিয়মিত মেমো জারি করছে, নিরাপত্তা জরুরী অবস্থা না হওয়া পর্যন্ত প্রায়শই সেগুলি উপেক্ষা করা হয়।

"সাইবার নিরাপত্তা শুধুমাত্র একটি সংকটের সময় মোকাবেলা করা হয়। প্রায় সবসময়, যে কথোপকথন একটি নেতিবাচক পরিস্থিতির সময় হয়. এটি সেই সম্পর্ক বিকাশ করা খুব কঠিন করে তোলে, "তাভাকোলি বলেছেন। "বেশিরভাগ সিআইএসও অন্যান্য সিআইএসও-এর হিরো হওয়ার জন্য আটকে আছে এবং বাকি সি-স্যুটের কাছে নয়।"

ক্যাপ গ্রুপের সিইও ব্রায়ান ওয়াকার যোগ করেছেন, একটি সাইবার নিরাপত্তা পরামর্শক প্রতিষ্ঠান: “এটি সবই কর্তৃত্ব এবং সম্মানের বিষয়ে। আপনার যদি কর্তৃত্ব থাকে এবং আপনার বস আপনাকে ব্যাক আপ না করেন, তাহলে সিআইএসওর আসলেই কর্তৃত্ব নেই।"