चूंकि साइबर सुरक्षा कॉर्पोरेट निर्णय लेने में एक महत्वपूर्ण विचार बन गई है, इसलिए मुख्य सूचना सुरक्षा अधिकारी (सीआईएसओ) की भूमिका को कार्यकारी पदानुक्रम में एक उच्च बिंदु तक बढ़ाने के लिए एक समान कदम उठाया गया है। तर्क यह प्रतीत होता है, "यदि साइबर महत्वपूर्ण है, तो सीआईएसओ भी महत्वपूर्ण होना चाहिए।" हालाँकि, भूमिका को ऊपर उठाने से CISO रेगिस्तान में "सुरक्षा" की दुहाई देने वाली एक अकेली आवाज़ बन जाता है, जिसका आईटी, इंजीनियरिंग या उत्पादों में दिन-प्रतिदिन के निर्णय लेने वालों से बहुत कम संबंध होता है।
इसके कुछ अवांछनीय परिणाम सामने आए हैं, जैसे कि फेसबुक के कार्यकारी ने सोचा कि कंपनी के सुरक्षा उपाय ठीक हैं। घंटों की देरी का कारण बना इसके 4 अक्टूबर, 2021 के जवाब में, आउटेज, या उबर कार्यकारी कौन हैकर्स को भुगतान किया जिन्होंने अपने सिस्टम का उल्लंघन किया, उल्लंघन को स्वीकार करने के बजाय, या कई सीआईएसओ जिन्होंने "सुरक्षा की अतिरिक्त परतों" में निवेश किया है, यह स्वीकार करने के बजाय कि उन्होंने शुरू में खराब चयन किया था। इन सभी मामलों में, कार्यात्मक व्यावसायिक इकाइयों से सीआईएसओ के अलगाव ने निस्संदेह इन निर्णयों को प्रतिबिंबित करने वाली सुरंग में भूमिका निभाई।
संगठनात्मक प्रभाव
शायद अब सीआईएसओ की भूमिका की फिर से कल्पना करने का समय आ गया है। शायद सीआईएसओ के महत्व को संगठनात्मक स्थिति के बजाय संगठनात्मक प्रभाव में प्रतिबिंबित होते देखना बेहतर होगा। शायद कार्यात्मक इकाइयों में सुरक्षा एम्बेड करने से बेहतर सुरक्षा प्राप्त होगी।
आईटी संगठन पारिस्थितिकी तंत्र के एक भाग के रूप में सीआईएसओ की कल्पना करें। वे बुनियादी ढांचे के बारे में हर फैसले में शामिल होंगे, और सुरक्षा संबंधी चिंताएं उन फैसलों में अभिन्न होंगी, बजाय इसके कि तथ्य के बाद निपटा जाए। यह किसी बाहरी समूह द्वारा बुनियादी ढांचे में डाली गई विशेष सुरक्षा क्षमताओं के बजाय नेटवर्क को कैसे संरचित और प्रबंधित किया जाता है, इसके आधार पर "सुरक्षा" समाधानों के एक सेट की अनुमति देगा।
सॉफ़्टवेयर विकास संगठन में शामिल एक सुरक्षा विशेषज्ञ की कल्पना करें। वे यह सुनिश्चित करने के लिए विकास प्रक्रिया को परिष्कृत करने में सक्षम होंगे कि सुरक्षा को ध्यान में रखते हुए कोड लिखा और परीक्षण किया जाए, डेवलपर्स को उन प्रक्रियाओं से परेशान किए बिना जो उनके लिए विदेशी हैं, जिससे कंपनी के कोड में कमजोरियां कम हो जाएंगी। उत्पाद शृंखला में शामिल एक सुरक्षा विशेषज्ञ की कल्पना करें। वे यह सुनिश्चित करने में सक्षम होंगे कि कॉर्पोरेट बुनियादी ढांचा उनके आईपी की सुरक्षा करता है और उनकी विकास प्रक्रिया उनके उत्पाद में कमजोरियों को कम करती है।
इन सभी मामलों में, कॉर्पोरेट संचालन की वास्तविकता पर आधारित कॉर्पोरेट निर्णयों में सुरक्षा एक कारक बन जाती है। सीआईएसओ की तकनीकी विशेषज्ञता उस पर लगाई गई किसी बाधा के बजाय रोजमर्रा के काम का अभिन्न अंग बन जाती है। इसी तरह, सुरक्षा और अनुपालन को निर्बाध रूप से काम करने की आवश्यकता है ताकि वित्तीय प्रणाली और भागीदारों और विक्रेताओं के साथ संचार सुरक्षित रहे। इसका विस्तार दूरसंचार प्रणालियों और अन्य हार्डवेयर तक है।
जोखिम कारक
यह कंपनी के निष्पादन में सुरक्षा के तकनीकी आयाम को एक शक्तिशाली आवाज बनाने का अधिक प्रभावशाली तरीका प्रतीत होता है। हालाँकि, किसी को आश्चर्य हो सकता है कि क्या यह नीति आयाम को कम कर देगा, व्यक्तिगत कार्यात्मक इकाइयों के विशेष हितों को संबोधित करने के लिए इसे संतुलित कर देगा। सीआईएसओ द्वारा वर्तमान में किए जा रहे सुरक्षा नीति कार्यों को शामिल करने के लिए मुख्य जोखिम अधिकारी की भूमिका का विस्तार करके इस चिंता का समाधान किया जा सकता है।
इससे सुरक्षा नीति को सी-स्तर पर रखने का लाभ मिलता है, जहां इसे आवश्यक ध्यान मिलता है। अन्य जोखिमों (उपलब्धता के लिए जोखिम, प्रतिष्ठा के लिए जोखिम, उपरोक्त मामलों को संबोधित करने के लिए) के संदर्भ में साइबर सुरक्षा जोखिम पर विचार करने का एक और लाभ है। सुरक्षा अब अपने आप में एक लक्ष्य नहीं होगी, बल्कि व्यापार करने का एक आयाम होगी। इसका मतलब यह नहीं है कि सुरक्षा को अन्य चिंताओं से जूझना होगा और ऐसे समायोजन करने होंगे जो संगठन की सुरक्षा स्थिति से समझौता करें। बल्कि, यह एक ऐसा वातावरण स्थापित करता है जो या तो/या मानसिकता को ऐसे व्यक्ति के लिए बदल देता है जो सभी आवश्यकताओं को पूरा करना चाहता है।
ऐसी कई एक्सेस कंट्रोल प्रौद्योगिकियां हैं जो फेसबुक को अपने कर्मियों को बंद किए बिना प्रभावी ढंग से सुरक्षित कर सकती हैं। जब उपलब्धता जोखिम के साथ सुरक्षा जोखिम पर विचार किया जाता है, तो अधिक व्यावहारिक समाधान सामने आएंगे।
