CISO-d vajavad turvalisuse eest vastutamiseks tuge

Vastavalt viimane aruanne, ainult 5 Fortune 100 ettevõttest arvestavad tippjuhtide loetlemisel oma turvajuhti.

. CISO roll ja selle seos mõjuvõimuga ja mõju on alati olnud tants korporatiivse vana kaardiväega. Kas CISO-l on tõesti volitused peatada ärivaldkonna juhil midagi riskantset tegemast? Ja kui CISO proovib, kas CISO saada toetust tegevjuhilt ja teised?

Viimastel LinkedIni arutelu algatas Derek Andrews, suure mittetulundusühingu küberjulgeoleku toimingute ja intsidentidele reageerimise direktor, mida ta enda sõnul pigem ei tuvastaks, hõlmas hirmud üsna hästi.

„CISO roll ei ole tegelikult millegi muu juht, kui olla inimene, kes langeb õigel ajal. CISO-d ei kuulu tegevjuhi siseringi. Nad on nagu neljas helin. See tähendab, et turbemüük peab läbima veel kolm, enne kui see saab tõelise organisatsioonilise heakskiidu, ja selleks ajaks on see veetud, et teha rohkem andmepüügikoolitust, ”kirjutas Andrews.

Andrews tõstatas seejärel kriitilise küsimuse: miks lubavad ettevõtted igal äriüksusel ise otsustada, kas miski on liiga riskantne, mitte CISO?

„Ma pole kunagi näinud ühtegi kohta, mis võimaldaks igal äriüksusel oma võrku juhtida. Miks me siis lubame kellelgi turunduses nõustuda küberriskiga, mis võib mõjutada organisatsiooni kõiki äriüksusi? Aktsepteerimine tähendaks omandiõigust ja me kõik teame, et vastutus ei ole kunagi seotud küberriskide vastuvõtmisega äriüksustega. See on CISO, mis langeb, ”kirjutas Andrews. „Finantsjuhil on finantsriskide ja tulemuslikkuse osas lõplik voli. Te ei kuule kunagi finantsjuhti ütlemas: "Noh, kui võtate riski vastu, siis saate sellega hakkama." See pole midagi, mida nad ei tee. Pealikena on nemad lõplikud autoriteedid ja nad vastutavad kõige eest, mis neile kuulub.

Õppige juhtimislingot

Miks annavad ettevõtted oma CISO-dele nii palju vähem võimu kui teised C-taseme juhid? See ei kahjusta ainult ettevõtte küberjulgeoleku strateegiat. Sellel võib olla kaudne mõju, mis halvendab veelgi turvalisust, kuna CISO-d muutuvad häbelikuks, et nad tühistatakse ja hakkavad valgustama jõupingutusi, mida nad teavad, et neid ei tohiks heaks kiita.

Barak Engel, turvafirma EAmmune tegevjuht ja autor Miks CISO-d ebaõnnestuvad, väidab, et suur osa sellest probleemist tuleneb Wall Streetist ja muudest turujõududest. Kui suurtest turvarikkumistest teatatakse, näevad ettevõtted mõnikord aktsiahinna langust, kuid see on peaaegu alati väga ajutine.

„Rikkustel ei ole pikaajalist negatiivset mõju. Aktsiahinnad taastuvad üsna kiiresti,” räägib Engel. "Tegevjuhi kokkuvõte on see, et pärast esimest paari kuud ei ole turvalisus oluline. Kuid CISO-d peavad seda tõeliselt hirmutavaks ja tegevjuhid on skeptilised.

Kuigi seda on korduvalt öeldud, väidab Engel, et see viitab sellele CISOd ei suhtle tõhusalt tegevjuhile – ja äriüksuste juhtidele – puhtalt äriliselt. "Just kord tahan kuulda, et CISO kasutab terminit "rahavoog". Kui kõik, mida me sinult kuuleme, on hirmutavad lood, siis pole sa veel õppinud, mida tähendab olla C-tase. Te pole omaks võtnud ärikeelt,” ütleb ta.

Ettevõtte sisseostmine

Teine osa probleemist on suhteline uudsus, vähemalt tegevjuhi strateegilisel plaadil, küberturvalisusest. Fortune 500 ettevõtete tegevjuhikomplektil on olnud põlvkondade pikkune kogemus juriidilistes, finants-, personali-, IR-, vastavus- ja muudes äriüksustes esinevate riskide ja ebakindluse mõistmisel ja nendega leppimisel. Kuid küberturvalisuse risk tundub paljudele tegevjuhtidele ebamugav ja raskesti kontrollitav.

"Enamik äririske on staatilised, kuid küberrisk absoluutselt mitte," ütleb NTT Austraalia küberjulgeoleku direktor Dirk Hodgson. „Küberturvalisuses ei ole riskid üldiselt kokku lepitud ega selged. See ei pruugi olla niivõrd lugupidamatus CISO vastu, kuivõrd kehv suhtlus ärilises kontekstis. Küberturvalisuse ja teiste äriüksuste ootustes on põhimõtteline erinevus. Kuni me selle parandame, jääme samasse kohta kinni.

Vectra AI tehnoloogiadirektor Oliver Tavakoli väidab, et selle probleemi põhjustab küberjulgeoleku iseloom. Kuigi CISO väljastab tippjuhtidele regulaarselt memosid erinevate probleemide kohta, ignoreeritakse neid sageli kuni turvahädaolukorrani.

"Küberturvalisusega tegeldakse ainult kriisi ajal. Peaaegu alati toimub see vestlus negatiivse olukorra ajal. See muudab selle suhte arendamise väga keeruliseks, ”ütleb Tavakoli. "Enamik CISO-sid on jäänud teiste CISO-de kangelasteks, mitte ülejäänud C-komplekti jaoks."

Küberturvalisuse konsultatsioonifirma Cap Groupi tegevjuht Brian Walker lisab: „Kõik on autoriteedis ja austuses. Kui teil on volitused ja teie ülemus teid ei toeta, pole CISO-l tegelikult volitusi.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Autod/elektrisõidukid, Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• BlockOffsets. Keskkonnakompensatsiooni omandi ajakohastamine. Juurdepääs siia.
• Allikas: https://www.darkreading.com/edge-articles/cisos-need-backing-to-take-charge-of-security