Gemäß einer kürzlich erschienenen Bericht, nur 5 der Fortune-100-Unternehmen zählen ihren Sicherheitschef bei der Auflistung des Top-Managements mit.
Das CISO-Rolle und ihre Beziehung zur Schlagkraft und Einfluss war schon immer ein Tanz mit der alten Garde der Unternehmen. Hat der CISO wirklich die Befugnis, einen Geschäftsbereichsleiter davon abzuhalten, etwas Riskantes zu tun? Und wenn der CISO es versucht, wird er es tun CISO erhält Unterstützung vom CEO und andere?
Eine kürzlich LinkedIn-Diskussion initiiert von Derek Andrews, der Direktor für Cybersicherheitsoperationen und Reaktion auf Vorfälle einer großen gemeinnützigen Organisation, von der er sagte, dass er sie lieber nicht identifizieren würde, brachte die Befürchtungen recht gut auf den Punkt.
„Die Rolle des CISO ist eigentlich nichts anderes als die Person, die im richtigen Moment den Sturz hinnimmt. CISOs gehören nicht zum inneren Kreis der CEOs. Sie sind wie beim vierten Klingeln. Das bedeutet, dass der Sicherheitsverkauf drei weitere Schritte durchlaufen muss, bevor er die tatsächliche Genehmigung der Organisation erhält, und bis dahin wird er auf die Durchführung weiterer Phishing-Schulungen reduziert“, schrieb Andrews.
Andrews stellte dann eine kritische Frage: Warum erlauben Unternehmen, dass jeder Geschäftsbereich selbst entscheidet, ob etwas zu riskant ist, und nicht der CISO?
„Ich habe noch nie einen Ort gesehen, an dem jede Geschäftseinheit ihr eigenes Netzwerk betreiben konnte. Warum lassen wir also zu, dass jemand im Marketing ein Cyberrisiko eingeht, das sich auf jede Geschäftseinheit in der Organisation auswirken kann? Akzeptanz würde Eigentum bedeuten, und wir alle wissen, dass die Rechenschaftspflicht niemals bei Geschäftsbereichen liegt, die Cyberrisiken akzeptieren. Es ist der CISO, der den Sturz hinnimmt“, schrieb Andrews. „Der CFO hat die letzte Autorität, wenn es um finanzielle Risiken und Leistung geht. Sie werden nie einen CFO sagen hören: „Wenn Sie das Risiko akzeptieren, können Sie es schaffen.“ Das ist nichts, was sie tun. Als Häuptling sind sie die letzte Autorität und werden für alles in ihrem Herrschaftsbereich zur Rechenschaft gezogen.“
Lernen Sie Führungsjargon
Warum geben Unternehmen ihren CISOs so viel weniger Macht als anderen C-Level-Führungskräften? Dies untergräbt nicht nur die Cybersicherheitsstrategie des Unternehmens. Dies kann die indirekte Auswirkung haben, dass die Sicherheitslage noch weiter geschwächt wird, da CISOs Angst davor haben, überstimmt zu werden, und grünes Licht für Maßnahmen geben, von denen sie wissen, dass sie nicht genehmigt werden sollten.
Barak Engel, der CEO des Sicherheitsunternehmens EAmmune und Autor von Warum CISOs scheitern, argumentiert, dass ein Großteil dieses Problems von der Wall Street und anderen Marktkräften herrührt. Wenn größere Sicherheitsverstöße bekannt werden, kommt es bei Unternehmen manchmal zu einem Rückgang des Aktienkurses, dieser ist jedoch fast immer nur vorübergehend.
„Verstöße haben keine langfristigen negativen Auswirkungen. Die Aktienkurse erholen sich ziemlich schnell“, sagt Engel. „Die Schlussfolgerung des CEO ist, dass Sicherheit nach den ersten Monaten keine Rolle mehr spielt. Aber CISOs stellen es als wirklich beängstigend dar, und CEOs sind skeptisch.“
Obwohl es schon oft gesagt wurde, behauptet Engel, dass dies darauf zurückgeht CISOs kommunizieren nicht effektiv an den CEO – und die Leiter der Geschäftseinheiten – in rein geschäftlicher Hinsicht. „Ein einziges Mal möchte ich hören, wie ein CISO den Begriff ‚Cashflow‘ verwendet. Wenn wir von Ihnen nur Gruselgeschichten hören, dann haben Sie noch nicht gelernt, was es bedeutet, ein C-Level-Mitarbeiter zu sein. Sie haben die Sprache des Unternehmens nicht übernommen“, sagt er.
Bauen Sie ein Business-Buy-In auf
Ein weiterer Teil des Problems ist der relative Neuheit, zumindest auf der strategischen Ebene des CEO, der Cybersicherheit. Die CEO-Suite von Fortune-500-Unternehmen verfügt über Generationen von Erfahrung darin, Risiken und Unsicherheiten in den Bereichen Recht, Finanzen, Personalwesen, IR, Compliance und anderen Geschäftsbereichen zu verstehen und sich mit ihnen vertraut zu machen. Doch das Risiko der Cybersicherheit erscheint vielen CEOs umständlich und schwer zu bewältigen.
„Die meisten Geschäftsrisiken sind statisch, Cyberrisiken jedoch keineswegs“, sagt Dirk Hodgson, Direktor für Cybersicherheit bei NTT Australia. „Bei der Cybersicherheit sind die Risiken nicht allgemein anerkannt oder klar. Dabei handelt es sich möglicherweise weniger um Respektlosigkeit gegenüber dem CISO als vielmehr um schlechte Kommunikation im geschäftlichen Kontext. Es gibt einen grundlegenden Unterschied in den Erwartungen zwischen Cybersicherheit und anderen Geschäftsbereichen. Bis wir das beheben, werden wir an der gleichen Stelle festsitzen.“
Oliver Tavakoli, CTO von Vectra AI, argumentiert, dass die Natur der Cybersicherheit selbst dieses Problem verursacht. Obwohl der CISO regelmäßig Memos zu verschiedenen Themen an Top-Führungskräfte verschickt, werden diese oft ignoriert, bis ein Sicherheitsnotfall eintritt.
„Cybersicherheit wird nur während einer Krise behandelt. Fast immer findet dieses Gespräch in einer negativen Situation statt. Das macht es sehr schwierig, eine solche Beziehung aufzubauen“, sagt Tavakoli. „Die meisten CISOs halten sich daran fest, Helden für andere CISOs zu sein und nicht für den Rest der C-Suite.“
Brian Walker, CEO der Cap Group, einem Beratungsunternehmen für Cybersicherheit, fügt hinzu: „Es geht um Autorität und Respekt. Wenn Sie die Autorität haben und Ihr Chef Sie nicht unterstützt, dann hat der CISO nicht wirklich die Autorität.“
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Automobil / Elektrofahrzeuge, Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- BlockOffsets. Modernisierung des Eigentums an Umweltkompensationen. Hier zugreifen.
- Quelle: https://www.darkreading.com/edge-articles/cisos-need-backing-to-take-charge-of-security
- :hast
- :Ist
- :nicht
- $UP
- 100
- 500
- 7
- a
- Über Uns
- absolut
- Akzeptieren
- Akzeptanz
- akzeptieren
- Rechenschaftspflicht
- verantwortlich
- angenommen
- Nach der
- Übereinstimmung
- AI
- Alle
- erlauben
- erlaubt
- Zulassen
- immer
- Amazon
- und
- Andrews
- angekündigt
- jedem
- etwas
- Genehmigung
- genehmigt
- SIND
- Argumentiert
- AS
- At
- Australien
- Autorität
- Zurück
- Unterstützung
- BE
- werden
- war
- Bevor
- Sein
- zwischen
- BOSS
- Verstöße
- Norbert
- Geschäft
- aber
- by
- C-Suite
- CAN
- Kappe
- Ursachen
- CEO
- Geschäftsführer
- cfo
- berechnen
- Chef
- Kreis
- KKV
- klar
- kommt
- komfortabel
- Kommunikation
- Unternehmen
- Compliance
- Consulting
- Kontext
- Gespräch
- Unternehmen
- Krise
- kritischem
- CTO
- Cyber-
- Internet-Sicherheit
- tanzen
- entscheidet
- Derek
- entwickeln
- Unterschied
- schwer
- Tauchen
- Direktor
- Diskussion
- do
- die
- doesn
- Dabei
- Domain
- Don
- nach unten
- im
- jeder
- effektiv
- Bemühungen
- Notfall
- gekapselt
- Unternehmen
- Unternehmen
- Sogar
- Jedes
- alles
- Exekutive
- Führungskräfte
- existieren
- Erwartungen
- ERFAHRUNGEN
- ziemlich
- Fallen
- Ängste
- wenige
- Finale
- Revolution
- Fest
- Vorname
- Fixieren
- Aussichten für
- Streitkräfte
- Vermögen
- Vierte
- für
- fundamental
- Generationen
- bekommen
- bekommen
- ABSICHT
- Go
- gehen
- Gruppe an
- Bewachen
- hätten
- das passiert
- Haben
- he
- ganzer
- Köpfe
- hören
- Statt
- Helden
- hr
- HTTPS
- i
- identifizieren
- if
- Impact der HXNUMXO Observatorien
- Einfluss hat
- in
- Zwischenfall
- Vorfallreaktion
- beeinflussen
- initiiert
- isn
- Problem
- Probleme
- Ausgabe
- IT
- SEINE
- selbst
- jpg
- nur
- Wissen
- Sprache
- grosse
- Leadership
- gelernt
- am wenigsten
- Rechtlich
- weniger
- Gefällt mir
- listing
- ll
- langfristig
- unterhält
- Dur
- MACHT
- Management
- viele
- Markt
- Marktkräfte
- Marketing
- Master
- Materie
- Kann..
- bedeuten
- Mittel
- nur
- Monat
- mehr
- vor allem warme
- viel
- Natur
- Need
- Negativ
- Netzwerk
- hört niemals
- gemeinnützig
- NTT
- of
- vorgenommen,
- Alt
- on
- einmal
- einzige
- Einkauf & Prozesse
- or
- organisatorisch
- Andere
- Anders
- besitzen
- Eigentum
- Teil
- Leistung
- person
- Phishing
- Ort
- Plato
- Datenintelligenz von Plato
- PlatoData
- Arm
- Werkzeuge
- Preis
- Preise
- Aufgabenstellung:
- Frage
- schnell
- geschafft
- lieber
- RE
- echt
- wirklich
- kürzlich
- Entspannung
- regulär
- Beziehung
- relativ
- Umwelt und Kunden
- Antwort
- REST
- Recht
- Ring
- Risiko
- Risiken
- Riskant
- Rollen
- Führen Sie
- s
- Said
- gleich
- sagt
- Sicherheitdienst
- Sicherheitsverstoss
- sehen
- scheint
- gesehen
- verkaufen
- sollte
- Situation
- skeptisch
- So
- Jemand,
- etwas
- Spot
- Anfang
- stammt
- -bestands-
- Stoppen
- Geschichten
- Strategisch
- Strategie
- Straße
- Suite
- Nehmen
- nimmt
- vorübergehend
- Begriff
- AGB
- als
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- ihr
- dann
- Dort.
- vom Nutzer definierten
- fehlen uns die Worte.
- obwohl?
- nach drei
- Durch
- Zeit
- mal
- zu
- Top
- Ausbildung
- wirklich
- Unsicherheiten
- für
- Untergraben
- Verständnis
- Einheit
- Bereiche
- allgemein
- bis
- -
- verschiedene
- Ve
- sehr
- Wanderer
- Pinnwand
- Wall Street
- wollen
- we
- GUT
- Was
- wann
- warum
- werden wir
- mit
- .
- würde
- schrieb
- Du
- Ihr
- Zephyrnet
