A CISO-k még akkor is küzdenek a C-Suite állapotáért, amikor az elvárások az egekbe szöknek

Egyre gyakrabban kérik a CISO-kat, hogy vállaljanak olyan felelősséget, amit általában C-suite szerepkörnek tekintenének, de anélkül, hogy sok szervezetnél annak tekintenék vagy kezelnék, egy új felmérés szerint 663 biztonsági vezetőt vontak be.

A felmérést az IANS az Artico Search-vel együttműködve végezte, és a CISO-kat kérdezte meg a munkájukkal, feladataikkal, vezetői támogatásukkal és egyéb témákkal kapcsolatban.

Teljesen 75%-uk azt mondta, hogy állásváltást keres.

A CISO szerepkörrel kapcsolatos elvárások megváltoztak

A válaszok azt mutatták, hogy a CISO szerepkörrel kapcsolatos elvárások drámaian megváltoztak a köz- és a magánszektor szervezeteinél, többek között a szabályozók fokozott ellenőrzése és a biztonság megsértése miatti felelősségre vonás iránti növekvő igények miatt.

Például a felmérés jelentés által elfogadott szabályokra mutatott rá Értékpapír- és Tőzsdebizottság (SEC) tavaly júliusban arra kötelezték a tőzsdén jegyzett vállalatokat, hogy az incidens megtörténtétől számított négy napon belül jelentsenek minden lényeges biztonsági incidenst. Egy másik példa a New York-i Állami Pénzügyi Szolgáltatások Minisztériuma (NYDFS) kibocsátása új kiberbiztonsági követelmények pénzügyi szolgáltató cégek számára.

„A szabályozók most felelősségre vonják a CISO-kat az átláthatóságért, sőt a szervezeteik nevében elkövetett csalásokért” – áll az IANS és az Artico jelentésében. Egyre nagyobb az elvárás, hogy a CISO elsősorban üzleti kockázatkezelési funkciót töltsön be, a vezetői értekezleteken világosan szólaljon meg, és közvetlen kommunikációs vonalon álljon a vezérigazgatóval és a C-suite-szal. Mindazonáltal, „annak ellenére, hogy a szerepvállalási elvárások C-szintre emelkedtek, a CISO-k küzdenek azért, hogy ilyennek tekintsék őket, és a CISO-szerep gyakran nem része a felső vezetői csapatnak”.

A felmérés kimutatta például, hogy míg a CISO-k több mint 63%-ának van alelnöke vagy igazgatói szintű beosztása, csak 20%-uk dolgozik C-suite szinten, annak ellenére, hogy a „főnök” címet viseli. Az 1 milliárd dollárnál nagyobb bevétellel rendelkező szervezetek esetében ez a szám még kisebb, 15%. Jelentéstételi szempontból a CISO-k aggasztó 90%-a legalább két szervezeti szinten van távol a CEO-tól és a C-suite-tól. Csupán 50%-a vesz részt a vállalat igazgatótanácsában negyedévente. Egynegyedük évente csak egyszer vagy kétszer lép kapcsolatba a testülettel, 12%-uk tisztán ad hoc jelleggel találkozik a testülettel, és 13%-uk arról számol be, hogy egyáltalán nincs kapcsolata a testülettel.

A CISO felelősségére vonatkozó útmutatás hiánya

Sok esetben azok a CISO-k, akik egyértelmű kockázati útmutatást szeretnének az igazgatóságuktól, nem kapják meg. Alig több mint egyharmaduk (36%) írta le úgy, hogy az igazgatótanács elég világos betekintést nyújt szervezetük kockázattűrési szintjébe ahhoz, hogy cselekedni tudjanak.

„A CISO szerepének fejlődése az elmúlt néhány évben drámaian felgyorsult” – mondja Nick Kakolowski, az IANS kutatási igazgatója. Azzal, hogy a szervezetek egyre több tevékenységet digitalizálnak, a CISO-k több felelősséget vállalnak, és a digitális kockázatok tényleges tulajdonosaivá váltak – mondja. „[De] a szervezetek nem találták ki, hogyan támogassák és erősítsék meg őket, ahogy a szerepkör növekszik.”

A CISO-közösségben az elmúlt években egyre nőtt az aggodalom a szerepkörrel kapcsolatos növekvő elvárások miatt, még akkor is, ha ezen elvárásoknak való megfelelési képességük nagyjából változatlan maradt. Olyan incidensek, mint egy tavaly októberi eset, amikor a SEC megvádolta Tim Brownt a SolarWinds CISO-val csalás és belső ellenőrzési hibák a cégnél történt 2020-as jogsértésről, és ahol egy bíró elítélte az egykori Uber CISO Joe Sullivant a 2016-os jogsértés miatt három év próbaidőre szabták ki ezeket az aggodalmakat. Noha vita folyik arról, hogy indokoltak-e a biztonsági vezetők elleni fellépések ezekben az incidensekben, sokan azzal érveltek, hogy igazságtalan őket egyedül felelősségre vonni a jogsértésekért.

Történelmi elfogultság a biztonság, mint C-szintű funkció ellen

Kakolowski szerint az egyik ok, amiért sok szervezet még mindig nem tekinti a CISO szerepét a C-suite-hoz tartozónak, a történelmi elfogultság. „A CISO-kat általában – gyakran igazságtalanul – technikusoknak tekintik, akik nem beszélik az üzleti nyelvet” – mondja, hozzátéve, hogy gyakran hajlamosak elhallgatni, ha készségfejlesztésről van szó. Az erőfeszítések gyakran a technikai képességekre és a csapatvezetésre összpontosítanak, nem pedig a vezetői készségek fejlesztésére.

Ennek egy része tehetetlenség is. A nagy, összetett szervezeteknek időbe telik, hogy alkalmazkodjanak az új kihívásokhoz és a szervezeti változásokhoz.

„A legnagyobb kihívást a CISO-k és a C-suite többi része közötti összhang megtalálása jelenti” – mondja Kakolowski. „Az üzleti vezetők kezdenek ráébredni annak kockázatára, hogy a CISO-kat üzleti vezetőként nem használják ki, és lehetőség nyílik a CISO-k számára, hogy bebizonyítsák, képesek értéket kínálni a szervezetnek a háttérirodán túl.”

A CISO-szerep odaemelése, ahová való, a C-suite-ben számos előnnyel járhat, érvel Kakolowski. A felső vezetés részeként a CISO jobban rávilágít arra, hogy merre tart a szervezet, és könnyebbé teszi számukra a digitális kockázatkezelés terén más érdekelt felekkel való együttműködést.

„Úgy pozícionálja a CISO-t, hogy megelőzze a kockázatokat, ezáltal csökkentve a kockázatok mérséklése során felmerülő súrlódásokat” – jegyzi meg.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/cybersecurity-operations/cisos-struggle-csuite-status-expectations-skyrocket