CISO:t tarvitsevat tukea voidakseen huolehtia turvallisuudesta

Mukaan viime raportti, vain 5 Fortune 100 -listalla olevasta yrityksestä laskee tietoturvapäällikkönsä ylimmän johdon listalle.

- CISO-rooli ja sen suhde painoarvoon ja vaikuttaminen on aina ollut tanssia yrityksen vanhan kaartin kanssa. Onko CISO:lla todella valtuudet estää toimialan johtajaa tekemästä jotain riskialtista? Ja jos CISO yrittää, tekeekö se CISO saa tukea toimitusjohtajalta ja muut?

Viime LinkedIn-keskustelun aloitti Derek Andrews, suuren voittoa tavoittelemattoman järjestön kyberturvallisuustoimintojen ja välikohtausten hallinnan johtaja, jota hän ei mieluummin halua tunnistaa, kiteytti pelot melko hyvin.

”CISO-rooli ei todellakaan ole mikään muu päällikkö kuin olla se henkilö, joka ottaa syksyn, kun sen aika on oikea. CISO:t eivät kuulu toimitusjohtajan sisäpiiriin. Ne ovat kuin neljäs soittoääni. Tämä tarkoittaa, että tietoturvamyynnistä on käytävä läpi kolme muuta ennen kuin se saa todellisen organisaation hyväksynnän, ja siihen mennessä se vesitetään lisäämään tietojenkalastelukoulutusta", Andrews kirjoitti.

Andrews esitti sitten kriittisen kysymyksen: Miksi yritykset antavat jokaisen liiketoimintayksikön päättää itse, jos jokin on liian riskialtista, CISO:n sijaan?

”En ole koskaan nähnyt paikkaa, jossa jokainen liiketoimintayksikkö olisi voinut ylläpitää omaa verkkoaan. Joten miksi annamme jonkun markkinoinnin hyväksyä kyberriskin, joka voi vaikuttaa organisaation jokaiseen liiketoimintayksikköön? Hyväksyminen tarkoittaisi omistajuutta, ja me kaikki tiedämme, että vastuullisuus ei koskaan liity kyberriskejä hyväksyviin liiketoimintayksiköihin. Se on CISO, joka vie kaatumisen", Andrews kirjoitti. ”Talousjohtajalla on lopullinen päätösvalta taloudellisten riskien ja tuloksen suhteen. Et koskaan kuule talousjohtajan sanovan "No, jos hyväksyt riskin, voit tehdä sen." Tämä ei ole jotain, mitä he tekevät. Päällikkönä he ovat lopullinen auktoriteetti, ja he ovat vastuussa kaikesta, mikä on heidän toimialueensa."

Opi Leadership Lingo

Miksi yritykset antavat CISO:lleen niin paljon vähemmän valtaa kuin muut C-tason johtajat? Tämä ei vain heikennä yrityksen kyberturvallisuusstrategiaa. Sillä voi olla välillinen vaikutus, joka heikentää turva-asentoa entisestään, kun CISO:t ujostelevat, että heidät ohitetaan, ja he alkavat tuoda esille toimia, joita heidän tietääkseen ei pitäisi hyväksyä.

Barak Engel, turvallisuusyhtiö EAmmunen toimitusjohtaja ja laatija Miksi CISO:t epäonnistuvat, väittää, että suuri osa tästä ongelmasta johtuu Wall Streetistä ja muista markkinavoimista. Kun suurista tietoturvaloukkauksista ilmoitetaan, yritykset näkevät toisinaan osakekurssien laskun, mutta se on melkein aina hyvin väliaikaista.

”Rikkomuksella ei ole pitkäaikaisia ​​kielteisiä vaikutuksia. Osakekurssit elpyvät melko nopeasti”, Engel sanoo. ”Toimitusjohtajan huomio on, että turvallisuudella ei ole väliä muutaman ensimmäisen kuukauden jälkeen. Mutta CISOt pitävät sen todella pelottavalta, ja toimitusjohtajat ovat skeptisiä.

Vaikka se on sanottu monta kertaa, Engel väittää, että tämä juontaa juurensa CISO:t eivät kommunikoi tehokkaasti toimitusjohtajalle – ja liiketoimintayksiköiden johtajille – puhtaasti liiketoiminnallisesti. "Vain kerran, kun haluan kuulla CISO:n käyttävän termiä "kassavirta". Jos kuulemme sinusta vain pelottavia tarinoita, et ole oppinut, mitä tarkoittaa olla C-taso. Et ole omaksunut yrityksen kieltä”, hän sanoo.

Rakenna liiketoiminnan sisäänosto

Toinen osa ongelmaa on suhteellinen uutuus, ainakin toimitusjohtajan strategialevyllä, kyberturvallisuudesta. Fortune 500 -yritysten CEO-sarjalla on ollut sukupolvien kokemus juridisten, taloudellisten, HR-, IR-, vaatimustenmukaisuus- ja muiden liiketoimintayksiköiden riskien ja epävarmuustekijöiden ymmärtämisestä ja niihin tottumisesta. Mutta kyberturvallisuusriski näyttää monille toimitusjohtajille hankalalta ja vaikealta hallita.

"Useimmat liiketoimintariskit ovat staattisia, mutta kyberriski ei todellakaan ole", sanoo Dirk Hodgson, NTT Australian kyberturvallisuusjohtaja. ”Kyberturvallisuudessa riskit eivät ole yleisesti hyväksyttyjä tai selkeitä. Se ei välttämättä ole niinkään CISO:n epäkunnioitusta kuin huonoa viestintää liiketoiminnassa. Kyberturvallisuuden ja muiden liiketoimintayksiköiden odotuksissa on perustavanlaatuinen ero. Kunnes korjaamme sen, jäämme samaan paikkaan."

Vectra AI:n teknologiajohtaja Oliver Tavakoli väittää, että kyberturvallisuuden luonne itsessään aiheuttaa tämän ongelman. Vaikka CISO lähettää säännöllisesti ylimmille johtajille muistioita erilaisista ongelmista, ne jätetään usein huomiotta, kunnes turvallisuushätä tapahtuu.

”Kyberturvallisuuteen puututaan vain kriisin aikana. Melkein aina se keskustelu on negatiivisen tilanteen aikana. Se tekee suhteen kehittämisen erittäin vaikeaksi”, Tavakoli sanoo. "Useimmat CISO:t ovat juuttuneet olemaan sankareita muille CISO:lle eivätkä muulle C-sarjalle."

Brian Walker, kyberturvallisuuden konsulttiyrityksen Cap Groupin toimitusjohtaja, lisää: ”Kyse on auktoriteetista ja kunnioituksesta. Jos sinulla on valtuudet ja pomosi ei tue sinua, CISO:lla ei todellakaan ole valtuuksia."

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. Autot / sähköautot, hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• BlockOffsets. Ympäristövastuun omistuksen nykyaikaistaminen. Pääsy tästä.
• Lähde: https://www.darkreading.com/edge-articles/cisos-need-backing-to-take-charge-of-security