CISO'er har brug for opbakning til at tage ansvaret for sikkerheden

Ifølge en seneste rapport, kun 5 af Fortune 100-virksomhederne tæller deres sikkerhedschef, når de noterer topledelsen.

CISO-rolle og dens forhold til gennemslagskraft og indflydelse har altid været en dans med virksomhedens gamle garde. Har CISO virkelig autoritet til at stoppe en virksomhedsleder fra at gøre noget risikabelt? Og hvis CISO forsøger, vil den CISO får opbakning fra den administrerende direktør og andre?

En nylig LinkedIn-diskussion initieret af Derek Andrews, direktøren for cybersikkerhedsoperationer og hændelsesrespons for en stor nonprofitorganisation, som han sagde, at han helst ikke ville identificere, indkapslede frygten ganske godt.

“CISO-rollen er egentlig ikke chefen for andet end at være den person, der skal tage faldet, når tiden er inde. CISO'er er ikke i CEO's inderkreds. De er ligesom den fjerde ring ud. Det betyder, at sikkerhedssalget skal igennem tre andre, før det får reel organisatorisk godkendelse, og på det tidspunkt er det udvandet til at lave mere phishing-træning,” skrev Andrews.

Andrews rejste derefter et kritisk spørgsmål: Hvorfor tillader virksomheder hver forretningsenhed at beslutte på egen hånd, hvis noget er alt for risikabelt, snarere end CISO?

“Jeg har aldrig set noget sted, der tillod hver forretningsenhed at drive sit eget netværk. Så hvorfor tillader vi nogen inden for marketing at acceptere en cyberrisiko, der kan påvirke enhver forretningsenhed i organisationen? Accept ville betyde ejerskab, og vi ved alle, at ansvarlighed aldrig kommer til at acceptere cyberrisiko-forretningsenheder. Det er CISO, der tager faldet,” skrev Andrews. "CFO'en har den endelige autoritet, når det kommer til finansiel risiko og præstation. Du vil aldrig høre en finansdirektør sige 'Nå, hvis du accepterer risikoen, så kan du gøre det.' Det er ikke noget, de gør. Som høvdingen er de den endelige autoritet og holdes ansvarlige for alt under deres domæne."

Lær Lederskabslingo

Hvorfor giver virksomheder deres CISO'er så meget mindre magt end andre ledere på C-niveau? Dette underminerer ikke blot virksomhedens cybersikkerhedsstrategi. Det kan have den indirekte virkning at mindske sikkerhedspositionen endnu mere, da CISO'er bliver skyde over, at de vil blive tilsidesat og starte grønt lys, som de ved ikke bør godkendes.

Barak Engel, administrerende direktør for sikkerhedsfirmaet EAmmune og forfatter af Hvorfor CISO'er mislykkes, hævder, at meget af dette problem stammer fra Wall Street og andre markedskræfter. Når der annonceres større sikkerhedsbrud, vil virksomheder nogle gange se et dyk i deres aktiekurs, men det er næsten altid meget midlertidigt.

"Brænkelser har ikke langsigtede negative konsekvenser. Aktiekurserne genoprettes ret hurtigt,” siger Engel. “Den administrerende direktør er, at sikkerheden ikke betyder noget efter de første par måneder. Men CISO'er maler det som virkelig skræmmende, og administrerende direktører er skeptiske."

Selvom det er blevet sagt mange gange, fastholder Engel, at dette vender tilbage til CISO'er kommunikerer ikke effektivt til den administrerende direktør - og forretningsenhedschefer - rent forretningsmæssigt. “Lige én gang vil jeg høre en CISO bruge udtrykket 'cashflow'. Hvis alt, hvad vi hører fra dig, er skræmmende historier, så har du ikke lært, hvad det vil sige at være et C-niveau. Man har ikke taget forretningens sprog til sig,” siger han.

Byg Business Buy-In

En anden del af problemet er det pårørende nyt, i hvert fald på den administrerende direktørs strategiske plade, af cybersikkerhed. CEO-pakken hos Fortune 500-virksomheder har haft generationer af erfaring med at forstå og blive fortrolig med risici og usikkerheder, der findes inden for juridiske, finansielle, HR, IR, compliance og andre forretningsenheder. Men cybersikkerhedsrisikoen virker akavet og svær at mestre for mange administrerende direktører.

"De fleste forretningsrisici er statiske, men cyberrisiko er det absolut ikke," siger Dirk Hodgson, direktør for cybersikkerhed for NTT Australia. "I cybersikkerhed er risiciene ikke universelt aftalte eller klare. Det er måske ikke lige så meget manglende respekt for CISO som dårlig kommunikation i en forretningssammenhæng. Der er en grundlæggende forskel i forventningerne mellem cybersikkerhed og andre forretningsenheder. Indtil vi fikser det, kommer vi til at sidde fast på samme sted."

Oliver Tavakoli, CTO for Vectra AI, hævder, at cybersikkerhedens natur forårsager dette problem. Selvom CISO regelmæssigt udsender notater til topledere om forskellige problemer, ignoreres de ofte, indtil der opstår en sikkerhedsnødsituation.

"Cybersikkerhed bliver kun behandlet under en krise. Næsten altid er den samtale i en negativ situation. Det gør det meget svært at udvikle det forhold,” siger Tavakoli. "De fleste CISO'er holder fast i at være helte for andre CISO'er og ikke for resten af ​​C-suiten."

Tilføjer Brian Walker, administrerende direktør for Cap Group, et cybersikkerhedskonsulentfirma: "Det handler om autoritet og respekt. Hvis du har autoriteten, og din chef ikke bakker dig op, så har CISO ikke rigtig autoriteten.”

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Automotive/elbiler, Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• BlockOffsets. Modernisering af miljømæssig offset-ejerskab. Adgang her.
• Kilde: https://www.darkreading.com/edge-articles/cisos-need-backing-to-take-charge-of-security