CISO-d võitlevad C-Suite'i staatuse nimel isegi siis, kui ootused hüppavad hüppeliselt

CISO-del palutakse üha enam võtta endale kohustusi, mida tavaliselt peetakse C-komplekti rolliks, kuid ilma paljudes organisatsioonides neid sellisena peetaks või käsitletaks, näitas uus 663 turbejuhi seas tehtud uuring.

Küsitluse viis läbi IANS koostöös Artico Searchiga ning küsitleti CISO-sid erinevatel teemadel, mis on seotud nende töö, nende kohustuste, juhtimistoetuse ja muude teemadega.

75% neist ütles, et otsivad töökohavahetust.

Ootused CISO rollile on muutunud

Vastused näitasid, et ootused CISO rollile on avaliku ja erasektori organisatsioonides dramaatiliselt muutunud, muuhulgas reguleerijate suurenenud kontrolli ja kasvavate nõudmiste tõttu turvarikkumiste eest vastutusele võtta.

Näitena võib tuua uuringu aruanne osutas sellistele reeglitele nagu need, mille vastu võttis Securities and Exchange Commission (SEC) eelmise aasta juulis, mis nõuavad, et börsil noteeritud ettevõtted teataksid kõigist olulistest turvaintsidentidest nelja päeva jooksul pärast intsidendi toimumist. Teine näide on New Yorgi osariigi finantsteenuste ministeerium (NYDFS). uued küberturvalisuse nõuded finantsteenuste ettevõtete jaoks.

"Reguleerivad asutused peavad nüüd CISO-sid vastutama läbipaistvuse ja isegi pettuste eest oma organisatsioonide nimel," öeldakse IANS-i ja Artico aruandes. Kasvab ootus, et CISO toimib peamiselt äririskide juhtimise funktsioonina, millel on juhtkonna koosolekutel selge hääl ning otsene suhtlusliin tegevjuhi ja C-paketiga. Siiski, "vaatamata rolliootuste tõstmisele C-tasemele, on CISO-del raskusi, et neid sellisena vaadelda ja CISO roll ei kuulu sageli kõrgemasse juhtkonda."

Uuring näitas näiteks, et kuigi enam kui 63% CISO-dest on asepresidendi või direktori tasemel ametikohal, on vaid 20% C-klassi tasemel, hoolimata sellest, et nende ametinimetuses on "pealik". Organisatsioonide puhul, mille tulud on üle 1 miljardi dollari, on see arv veelgi väiksem, 15%. Aruandluse seisukohast on murettekitavad 90% CISO-dest tegevjuhist ja C-komplektist eemaldatud vähemalt kaks või enam organisatsioonitasandit. Vaid 50% suhtleb oma ettevõtte juhatusega kord kvartalis. Neljandik suhtleb juhatusega vaid üks või kaks korda aastas, 12% kohtub juhatusega puhtalt ad hoc alusel ja 13% teatab, et tal puudub juhatusega üldse kontakt.

Puuduvad juhised CISO vastutuse kohta

Paljudel juhtudel ei saa CISOd, kes soovivad oma juhatuselt selgeid riskijuhiseid, seda. Vaevalt enam kui kolmandik (36%) kirjeldas, et nende juhatus pakub neile piisavalt selget ülevaadet organisatsiooni riskitaluvuse tasemest, et nad saaksid selle järgi tegutseda.

"CISO rolli areng on viimastel aastatel dramaatiliselt kiirenenud," ütleb IANS-i uurimisdirektor Nick Kakolowski. Ta ütleb, et kuna organisatsioonid digitaliseerivad rohkem oma tegevust, võtavad CISO-d endale rohkem kohustusi ja neist on saanud digitaalse riski de facto omanikud. "[Kuid] organisatsioonid ei ole aru saanud, kuidas neid rollide ulatuse kasvades toetada ja volitada."

CISO kogukonnas on viimastel aastatel kasvanud mure seoses rolliga seotud kasvavate ootustega, kuigi nende suutlikkus neid ootusi täita on jäänud suures osas muutumatuks. Juhtumid nagu eelmise aasta oktoobris, kus SEC esitas SolarWindsi CISO Tim Brownile süüdistuse pettused ja sisekontrolli tõrked 2020. aasta rikkumise üle ettevõttes ja kus kohtunik mõisteti endine Uberi CISO Joe Sullivan süüdi 2016. aasta rikkumise eest kolmeaastase katseajaga, on neid muresid õhutanud. Kuigi vaieldakse selle üle, kas nende juhtumite puhul turvatöötajate vastu võetud meetmed olid õigustatud, on paljud väitnud, et on ebaõiglane neid rikkumiste eest üksi vastutada.

Ajalooline eelarvamus turvalisuse kui C-taseme funktsiooni vastu

Üks põhjusi, miks paljud organisatsioonid ikka veel ei taju CISO-de rolli C-komplekti kuuluvana, on ajalooline eelarvamus, ütleb Kakolowski. „CISO-sid kiputakse tajuma – sageli ebaõiglaselt – kui tehnikaspetsialiste, kes ei oska ärikeelt,” ütleb ta ja lisab, et oskuste arendamisel kiputakse neid sageli vaikima. Sealsed jõupingutused keskenduvad sageli tehnilistele võimalustele ja meeskonna juhtimisele, mitte juhtimisoskuste arendamisele.

Osa sellest on ka inertsist. Suurtel ja keerukatel organisatsioonidel kulub uute väljakutsete ja organisatsiooniliste muutustega kohanemiseks aega.

"Suurim väljakutse on CISO-de ja ülejäänud C-komplekti vahelise vastavuse leidmine, " ütleb Kakolowski. "Ärijuhid on hakanud mõistma CISO-de kui ettevõtete juhtide alakasutamise ohtu ja CISO-del on võimalus näidata oma võimet pakkuda organisatsioonile väärtust väljaspool tagakontorit."

Kakolowski väidab, et CISO rolli tõstmisel sinna, kuhu see kuulub, C-komplektis võib olla palju eeliseid. Tippjuhtkonda kuulumine annab CISO-le parema teadlikkuse ja nähtavuse selle kohta, kuhu organisatsioon liigub, ning hõlbustab neil teha koostööd teiste sidusrühmadega digitaalse riskijuhtimise vallas.

"See asetab CISO riskidest ette, vähendades seeläbi hõõrdumist, mis võib riskide maandamisel tekkida," märgib ta.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/cybersecurity-operations/cisos-struggle-csuite-status-expectations-skyrocket