सुरक्षा का प्रभार लेने के लिए सीआईएसओ को समर्थन की आवश्यकता है

सुरक्षा का प्रभार लेने के लिए सीआईएसओ को समर्थन की आवश्यकता है

समय टिकट: अगस्त 2, 2023 7:50 अपराह्न
प्लेटोब्लॉकचेन डेटा इंटेलिजेंस की सुरक्षा का प्रभार लेने के लिए सीआईएसओ को समर्थन की आवश्यकता है। लंबवत खोज. ऐ.

एक के अनुसार हाल ही की रिपोर्ट, फॉर्च्यून 5 कंपनियों में से केवल 100 कंपनियां शीर्ष प्रबंधन को सूचीबद्ध करते समय अपने सुरक्षा प्रमुख की गणना करती हैं।

RSI सीआईएसओ की भूमिका और प्रभाव से इसका संबंध और प्रभाव हमेशा कॉर्पोरेट पुराने संरक्षक के साथ एक नृत्य रहा है। क्या सीआईएसओ के पास वास्तव में किसी व्यावसायिक कार्यकारी को कुछ जोखिम भरा काम करने से रोकने का अधिकार है? और यदि सीआईएसओ प्रयास करेगा, तो करेगा सीआईएसओ को सीईओ से समर्थन मिला और दूसरे?

हाल ही में एक लिंक्डइन चर्चा डेरेक एंड्रयूज द्वारा शुरू की गईएक बड़े गैर-लाभकारी संगठन के लिए साइबर सुरक्षा संचालन और घटना प्रतिक्रिया के निदेशक, उन्होंने कहा कि वह पहचान नहीं करना चाहेंगे, उन्होंने आशंकाओं को अच्छी तरह से समझाया।

“सीआईएसओ की भूमिका वास्तव में सही समय आने पर गिरावट का सामना करने वाले व्यक्ति होने के अलावा किसी अन्य चीज का प्रमुख नहीं है। सीआईएसओ सीईओ के आंतरिक दायरे में नहीं हैं। वे चौथी रिंग आउट की तरह हैं। इसका मतलब है कि वास्तविक संगठनात्मक अनुमोदन प्राप्त करने से पहले सुरक्षा बिक्री को तीन अन्य लोगों से गुजरना पड़ता है और, उस समय तक, यह अधिक फ़िशिंग प्रशिक्षण करने के लिए कम हो जाता है, ”एंड्रयूज़ ने लिखा।

इसके बाद एंड्रयूज ने एक महत्वपूर्ण सवाल उठाया: यदि कोई चीज़ अत्यधिक जोखिम भरी है तो उद्यम सीआईएसओ के बजाय प्रत्येक व्यावसायिक इकाई को स्वयं निर्णय लेने की अनुमति क्यों देते हैं?

“मैंने कभी कोई ऐसी जगह नहीं देखी जो प्रत्येक व्यवसाय इकाई को अपना नेटवर्क चलाने की अनुमति देती हो। तो हम मार्केटिंग में किसी को साइबर जोखिम स्वीकार करने की अनुमति क्यों दे रहे हैं जो संगठन की प्रत्येक व्यावसायिक इकाई को प्रभावित कर सकता है? स्वीकृति का मतलब स्वामित्व होगा और हम सभी जानते हैं कि साइबर जोखिम स्वीकार करने वाली व्यावसायिक इकाइयों में जवाबदेही कभी नहीं आती है। यह सीआईएसओ ही है जो पतन को रोकता है,'' एंड्रयूज ने लिखा। “जब वित्तीय जोखिम और प्रदर्शन की बात आती है तो सीएफओ के पास अंतिम अधिकार होता है। आपने कभी किसी सीएफओ को यह कहते नहीं सुना होगा 'ठीक है, यदि आप जोखिम स्वीकार करते हैं, तो आप यह कर सकते हैं।' यह ऐसा कुछ नहीं है जो वे करते हैं। प्रमुख के रूप में वे अंतिम प्राधिकारी हैं और अपने अधिकार क्षेत्र के तहत हर चीज के लिए जवाबदेह ठहराए जाते हैं।

लीडरशिप लिंगो सीखें

उद्यम अपने सीआईएसओ को अन्य सी-स्तर के अधिकारियों की तुलना में इतनी कम शक्ति क्यों देते हैं? यह केवल उद्यम साइबर सुरक्षा रणनीति को कमजोर नहीं करता है। इसका सुरक्षा स्थिति को और भी कम करने का अप्रत्यक्ष प्रभाव हो सकता है, क्योंकि सीआईएसओ इस बात को लेकर शर्मीले हो जाते हैं कि उन्हें मात दी जाएगी और वे उन प्रयासों को हरी झंडी देना शुरू कर देंगे जिनके बारे में उन्हें पता है कि उन्हें मंजूरी नहीं दी जानी चाहिए।

सुरक्षा फर्म EAmmune के सीईओ बराक एंगेल और के लेखक सीआईएसओ विफल क्यों होते हैं?का तर्क है कि इस समस्या का अधिकांश भाग वॉल स्ट्रीट और अन्य बाज़ार शक्तियों से उत्पन्न होता है। जब बड़े सुरक्षा उल्लंघनों की घोषणा की जाती है, तो कंपनियों को कभी-कभी उनके स्टॉक मूल्य में गिरावट दिखाई देगी, लेकिन यह लगभग हमेशा बहुत अस्थायी होती है।

“उल्लंघनों का दीर्घकालिक नकारात्मक प्रभाव नहीं होता है। स्टॉक की कीमतें काफी तेजी से ठीक हो जाती हैं,'' एंगेल कहते हैं। “सीईओ की मुख्य बात यह है कि पहले कुछ महीनों के बाद सुरक्षा कोई मायने नहीं रखती। लेकिन सीआईएसओ इसे वास्तव में डरावना बताते हैं, और सीईओ संशय में हैं।

हालाँकि यह कई बार कहा गया है, एंगेल का कहना है कि यह उसी की याद दिलाता है सीआईएसओ प्रभावी ढंग से संचार नहीं कर रहे हैं सीईओ - और बिजनेस यूनिट प्रमुखों को - शुद्ध व्यावसायिक संदर्भ में। “बस एक बार मैं सीआईएसओ को 'कैशफ़्लो' शब्द का प्रयोग करते हुए सुनना चाहता हूँ। यदि हम आपसे केवल डरावनी कहानियाँ सुनते हैं, तो आपने यह नहीं सीखा है कि सी-लेवल होने का क्या मतलब है। आपने व्यवसाय की भाषा नहीं अपनाई है,'' वह कहते हैं।

बिजनेस बाय-इन बनाएं

समस्या का दूसरा भाग सापेक्ष है नयापन, कम से कम सीईओ की रणनीतिक प्लेट पर, साइबर सुरक्षा का। फॉर्च्यून 500 कंपनियों के सीईओ सुइट के पास कानूनी, वित्तीय, मानव संसाधन, आईआर, अनुपालन और अन्य व्यावसायिक इकाइयों के भीतर मौजूद जोखिमों और अनिश्चितताओं को समझने और उनके साथ सहज होने का कई पीढ़ियों का अनुभव है। लेकिन कई सीईओ को साइबर सुरक्षा जोखिम अजीब और काबू पाना मुश्किल लगता है।

एनटीटी ऑस्ट्रेलिया के साइबर सुरक्षा निदेशक डर्क हॉजसन कहते हैं, "अधिकांश व्यावसायिक जोखिम स्थिर हैं, लेकिन साइबर जोखिम बिल्कुल नहीं है।" “साइबर सुरक्षा में, जोखिम सार्वभौमिक रूप से सहमत या स्पष्ट नहीं हैं। यह सीआईएसओ का उतना अनादर नहीं हो सकता जितना कि व्यावसायिक संदर्भ में खराब संचार। साइबर सुरक्षा और अन्य व्यावसायिक इकाइयों के बीच अपेक्षाओं में बुनियादी अंतर है। जब तक हम इसे ठीक नहीं कर लेते, हम उसी स्थान पर अटके रहेंगे।''

वेक्ट्रा एआई के सीटीओ ओलिवर तवाकोली का तर्क है कि साइबर सुरक्षा की प्रकृति ही इस समस्या का कारण बनती है। हालांकि सीआईएसओ विभिन्न मुद्दों के बारे में शीर्ष अधिकारियों को नियमित मेमो जारी कर रहा है, लेकिन सुरक्षा आपातकाल होने तक उन्हें अक्सर नजरअंदाज कर दिया जाता है।

“साइबर सुरक्षा से केवल संकट के दौरान ही निपटा जाता है। लगभग हमेशा, वह बातचीत किसी नकारात्मक स्थिति के दौरान होती है। तवाकोली का कहना है, ''इससे ​​उस तालमेल को विकसित करना बहुत मुश्किल हो जाता है।'' "अधिकांश सीआईएसओ अन्य सीआईएसओ के लिए हीरो बनने पर अड़े हुए हैं, बाकी सी-सूट के लिए नहीं।"

साइबर सुरक्षा परामर्श फर्म कैप ग्रुप के सीईओ ब्रायन वॉकर कहते हैं: “यह सब अधिकार और सम्मान के बारे में है। यदि आपके पास अधिकार है और आपका बॉस आपका समर्थन नहीं करता है, तो सीआईएसओ के पास वास्तव में अधिकार नहीं है।"

समय टिकट:

से अधिक डार्क रीडिंग