Οι CISO χρειάζονται υποστήριξη για να αναλάβουν την ασφάλεια

Οι CISO χρειάζονται υποστήριξη για να αναλάβουν την ασφάλεια

Χρονική σήμανση: 2 Αυγούστου 2023 7:50 μ.μ.
Οι CISOs χρειάζονται υποστήριξη για να αναλάβουν την ασφάλεια της Intelligence Δεδομένων PlatoBlockchain. Κάθετη αναζήτηση. Ολα συμπεριλαμβάνονται.

Σύμφωνα με ένα πρόσφατη έκθεση, μόνο 5 από τις εταιρείες του Fortune 100 μετρούν τον επικεφαλής ασφαλείας τους όταν καταχωρούν ανώτατα στελέχη.

Η Ο ρόλος του CISO και η σχέση του με την επιρροή και η επιρροή ήταν πάντα ένας χορός με την εταιρική παλιά φρουρά. Έχει πραγματικά το CISO την εξουσία να εμποδίσει ένα στέλεχος της γραμμής της επιχείρησης να κάνει κάτι επικίνδυνο; Και αν το CISO προσπαθήσει, θα το κάνει Η CISO λαμβάνει υποστήριξη από τον Διευθύνοντα Σύμβουλο και άλλοι?

Μια πρόσφατη Η συζήτηση στο LinkedIn ξεκίνησε από τον Derek Andrews, ο διευθυντής επιχειρήσεων κυβερνοασφάλειας και αντιμετώπισης περιστατικών για μια μεγάλη μη κερδοσκοπική εταιρεία που είπε ότι θα προτιμούσε να μην προσδιορίσει, περιέγραψε αρκετά καλά τους φόβους.

«Ο ρόλος του CISO δεν είναι στην πραγματικότητα ο κύριος σε οτιδήποτε άλλο από το να είναι το άτομο που θα δεχτεί την πτώση όταν είναι η κατάλληλη στιγμή. Οι CISO δεν ανήκουν στον στενό κύκλο των CEO. Είναι σαν το τέταρτο δαχτυλίδι έξω. Αυτό σημαίνει ότι η πώληση ασφάλειας πρέπει να περάσει από τρεις άλλες προτού λάβει πραγματική οργανωτική έγκριση και, μέχρι εκείνη τη στιγμή, έχει περιοριστεί στο να κάνει περισσότερη εκπαίδευση στο phishing», έγραψε ο Andrews.

Ο Andrews έθεσε στη συνέχεια ένα κρίσιμο ερώτημα: Γιατί οι επιχειρήσεις επιτρέπουν σε κάθε επιχειρηματική μονάδα να αποφασίζει μόνη της εάν κάτι είναι υπερβολικά επικίνδυνο, παρά στο CISO;

«Δεν έχω δει ποτέ κανένα μέρος που να επιτρέπει σε κάθε επιχειρηματική μονάδα να λειτουργεί το δικό της δίκτυο. Γιατί λοιπόν επιτρέπουμε σε κάποιον στο μάρκετινγκ να αποδεχθεί έναν κίνδυνο στον κυβερνοχώρο που μπορεί να επηρεάσει κάθε επιχειρηματική μονάδα στον οργανισμό; Αποδοχή θα σήμαινε ιδιοκτησία και όλοι γνωρίζουμε ότι η λογοδοσία δεν έρχεται ποτέ στον κυβερνοχώρο αποδοχής επιχειρηματικών μονάδων. Είναι το CISO που παίρνει την πτώση», έγραψε ο Andrews. «Ο οικονομικός διευθυντής έχει την τελική εξουσία όσον αφορά τον οικονομικό κίνδυνο και την απόδοση. Δεν θα ακούσετε ποτέ έναν Οικονομικό Διευθυντή να λέει «Λοιπόν, αν αποδεχτείς τον κίνδυνο, τότε μπορείς να το κάνεις». Αυτό δεν είναι κάτι που κάνουν. Ως αρχηγοί είναι η τελική αρχή και λογοδοτούν για οτιδήποτε ανήκει στην κυριαρχία τους».

Μάθετε Leadership Lingo

Γιατί οι επιχειρήσεις δίνουν στους CISO τους τόσο λιγότερη εξουσία από άλλα στελέχη C-level; Αυτό δεν υπονομεύει απλώς τη στρατηγική για την κυβερνοασφάλεια των επιχειρήσεων. Μπορεί να έχει τον έμμεσο αντίκτυπο να μειώσει ακόμη περισσότερο τη στάση της ασφάλειας, καθώς οι CISO ντρέπονται ότι θα παρακαμφθούν και θα αρχίσουν να δίνουν πράσινο φως σε προσπάθειες που γνωρίζουν ότι δεν πρέπει να εγκριθούν.

Ο Barak Engel, ο Διευθύνων Σύμβουλος της εταιρείας ασφαλείας EAmmune και συγγραφέας του Γιατί αποτυγχάνουν οι CISO, υποστηρίζει ότι μεγάλο μέρος αυτού του προβλήματος πηγάζει από τη Wall Street και άλλες δυνάμεις της αγοράς. Όταν ανακοινώνονται μεγάλες παραβιάσεις ασφαλείας, οι εταιρείες θα δουν μερικές φορές μια πτώση στην τιμή των μετοχών τους, αλλά είναι σχεδόν πάντα πολύ προσωρινό.

«Οι παραβιάσεις δεν έχουν μακροπρόθεσμες αρνητικές επιπτώσεις. Οι τιμές των μετοχών ανακάμπτουν αρκετά γρήγορα», λέει ο Engel. «Το βασικό στοιχείο του CEO είναι ότι η ασφάλεια δεν έχει σημασία μετά τους πρώτους μήνες. Αλλά οι CISO το χαρακτηρίζουν ως πραγματικά τρομακτικό και οι CEO είναι δύσπιστοι».

Αν και έχει ειπωθεί πολλές φορές, ο Ένγκελ υποστηρίζει ότι αυτό έρχεται πίσω Οι CISO δεν επικοινωνούν αποτελεσματικά προς τον Διευθύνοντα Σύμβουλο — και τους επικεφαλής των επιχειρηματικών μονάδων — με καθαρά επιχειρηματικούς όρους. «Μόλις θέλω να ακούσω έναν CISO να χρησιμοποιεί τον όρο «ταμειακή ροή». Αν το μόνο που ακούμε από εσάς είναι τρομακτικές ιστορίες, τότε δεν έχετε μάθει τι σημαίνει να είσαι C-level. Δεν έχετε υιοθετήσει τη γλώσσα της επιχείρησης», λέει.

Δημιουργία επιχειρηματικής αγοράς

Ένα άλλο μέρος του προβλήματος είναι το σχετικό καινοτομία, τουλάχιστον στο στρατηγικό πιάτο του CEO, της κυβερνοασφάλειας. Η σουίτα CEO στις εταιρείες Fortune 500 είχε γενιές εμπειρίας κατανοώντας και αισθάνεται άνετα με τους κινδύνους και τις αβεβαιότητες που υπάρχουν σε νομικές, οικονομικές μονάδες, HR, IR, συμμόρφωσης και άλλες επιχειρηματικές μονάδες. Ωστόσο, ο κίνδυνος για την ασφάλεια στον κυβερνοχώρο φαίνεται δύσκολος και δύσκολος για πολλούς CEO.

«Οι περισσότεροι επιχειρηματικοί κίνδυνοι είναι στατικοί, αλλά ο κίνδυνος στον κυβερνοχώρο δεν είναι απολύτως», λέει ο Dirk Hodgson, διευθυντής κυβερνοασφάλειας για το NTT Australia. «Στην κυβερνοασφάλεια, οι κίνδυνοι δεν είναι καθολικά αποδεκτοί ή ξεκάθαροι. Μπορεί να μην είναι τόσο ασέβεια προς τον CISO όσο κακή επικοινωνία σε επιχειρηματικό πλαίσιο. Υπάρχει μια θεμελιώδης διαφορά στις προσδοκίες μεταξύ της ασφάλειας στον κυβερνοχώρο και άλλων επιχειρηματικών μονάδων. Μέχρι να το διορθώσουμε, θα μείνουμε στο ίδιο σημείο».

Ο Oliver Tavakoli, ο CTO της Vectra AI, υποστηρίζει ότι η ίδια η φύση της κυβερνοασφάλειας προκαλεί αυτό το ζήτημα. Παρόλο που το CISO εκδίδει τακτικά υπομνήματα σε ανώτατα στελέχη για διάφορα θέματα, συχνά αγνοούνται μέχρι να συμβεί έκτακτη ανάγκη ασφαλείας.

«Η κυβερνοασφάλεια αντιμετωπίζεται μόνο κατά τη διάρκεια μιας κρίσης. Σχεδόν πάντα, αυτή η συνομιλία είναι κατά τη διάρκεια μιας αρνητικής κατάστασης. Αυτό καθιστά πολύ δύσκολη την ανάπτυξη αυτής της σχέσης», λέει ο Tavakoli. "Οι περισσότεροι CISO είναι κολλημένοι στο να είναι ήρωες για άλλους CISO και όχι για το υπόλοιπο C-suite."

Προσθέτει ο Brian Walker, Διευθύνων Σύμβουλος της Cap Group, μιας εταιρείας συμβούλων για την ασφάλεια στον κυβερνοχώρο: «Τα πάντα έχουν να κάνουν με την εξουσία και τον σεβασμό. Εάν έχετε την εξουσία και το αφεντικό σας δεν σας υποστηρίζει, τότε το CISO δεν έχει πραγματικά την εξουσία».

Σφραγίδα ώρας:

Περισσότερα από Σκοτεινή ανάγνωση