CISO Perlu Dukungan untuk Mengambil alih Keamanan

Menurut laporan terbaru, hanya 5 dari perusahaan Fortune 100 yang menghitung kepala keamanan mereka saat mendaftarkan manajemen puncak.

Grafik Peran CISO dan hubungannya dengan pengaruh dan pengaruh selalu menjadi tarian bersama para pengawal lama perusahaan. Apakah CISO benar-benar mempunyai kewenangan untuk menghentikan eksekutif lini bisnis melakukan sesuatu yang berisiko? Dan jika CISO mencobanya, akankah CISO mendapatkan dukungan dari CEO dan lain-lain?

Sebuah baru-baru ini Diskusi LinkedIn diprakarsai oleh Derek Andrews, direktur operasi keamanan siber dan respons insiden untuk sebuah organisasi nirlaba besar yang menurutnya tidak ingin ia identifikasi, mampu merangkum ketakutan tersebut dengan cukup baik.

“Peran CISO bukanlah yang utama selain menjadi orang yang mengambil risiko pada saat yang tepat. CISO tidak termasuk dalam lingkaran dalam CEO. Itu seperti dering keempat. Itu berarti bahwa penjualan keamanan harus melalui tiga lainnya sebelum mendapat persetujuan organisasi yang nyata dan, pada saat itu, dipermudah untuk melakukan lebih banyak pelatihan phishing,” tulis Andrews.

Andrews kemudian mengajukan pertanyaan kritis: Mengapa perusahaan mengizinkan setiap unit bisnis untuk memutuskan sendiri jika ada sesuatu yang terlalu berisiko, daripada CISO?

“Saya belum pernah melihat tempat yang mengizinkan setiap unit bisnis menjalankan jaringannya sendiri. Jadi mengapa kita membiarkan seseorang di bidang pemasaran menerima risiko dunia maya yang dapat berdampak pada setiap unit bisnis dalam organisasi? Penerimaan berarti kepemilikan dan kita semua tahu bahwa akuntabilitas tidak pernah mencakup unit bisnis yang menerima risiko dunia maya. CISO-lah yang menanggung akibatnya,” tulis Andrews. “CFO memiliki wewenang final dalam hal risiko dan kinerja keuangan. Anda tidak akan pernah mendengar CFO berkata 'Baiklah, jika Anda menerima risikonya, maka Anda bisa melakukannya.' Ini bukanlah sesuatu yang mereka lakukan. Sebagai pemimpin, mereka adalah otoritas terakhir dan bertanggung jawab atas segala sesuatu yang berada di bawah kekuasaan mereka.”

Pelajari Lingo Kepemimpinan

Mengapa perusahaan memberikan kekuasaan yang jauh lebih kecil kepada CISO dibandingkan eksekutif tingkat C lainnya? Hal ini tidak hanya melemahkan strategi keamanan siber perusahaan. Hal ini dapat memberikan dampak tidak langsung berupa semakin berkurangnya postur keamanan, karena CISO menjadi enggan untuk dikesampingkan dan mulai memberi lampu hijau pada upaya-upaya yang mereka tahu tidak boleh disetujui.

Barak Engel, CEO perusahaan keamanan EAmmune dan penulis Mengapa CISO Gagal, berpendapat bahwa sebagian besar masalah ini berasal dari Wall Street dan kekuatan pasar lainnya. Ketika pelanggaran keamanan besar diumumkan, perusahaan kadang-kadang akan melihat penurunan harga saham mereka, tapi itu hampir selalu bersifat sementara.

“Pelanggaran tidak memiliki dampak negatif jangka panjang. Harga saham pulih cukup cepat,” kata Engel. “Kesimpulan CEO adalah bahwa keamanan tidak menjadi masalah setelah beberapa bulan pertama. Tapi CISO menggambarkannya sebagai hal yang sangat menakutkan, dan para CEO merasa skeptis.”

Meski telah dikatakan berkali-kali, Engel berpendapat bahwa ini mengingatkan kembali CISO tidak berkomunikasi secara efektif kepada CEO — dan kepala unit bisnis — dalam istilah bisnis murni. “Sekali saja saya ingin mendengar CISO menggunakan istilah 'arus kas'. Jika yang kami dengar dari Anda hanyalah cerita menakutkan, berarti Anda belum mempelajari apa artinya menjadi level C. Anda belum mengadopsi bahasa bisnis,” katanya.

Bangun Buy-In Bisnis

Bagian lain dari masalah adalah relatif kebaruan, setidaknya di piring strategis CEO, keamanan siber. Jajaran CEO di perusahaan-perusahaan Fortune 500 telah memiliki pengalaman selama beberapa generasi dalam memahami dan merasa nyaman dengan risiko dan ketidakpastian yang ada dalam unit bisnis hukum, keuangan, SDM, IR, kepatuhan, dan lainnya. Namun risiko keamanan siber tampaknya janggal dan sulit untuk dikuasai oleh banyak CEO.

“Sebagian besar risiko bisnis bersifat statis, namun risiko siber sebenarnya tidak bersifat statis,” kata Dirk Hodgson, direktur keamanan siber di NTT Australia. “Dalam keamanan siber, risikonya tidak disepakati atau jelas secara universal. Ini mungkin bukan merupakan sikap tidak hormat terhadap CISO, melainkan komunikasi yang buruk dalam konteks bisnis. Terdapat perbedaan mendasar dalam ekspektasi antara keamanan siber dan unit bisnis lainnya. Sampai kita memperbaikinya, kita akan terjebak di tempat yang sama.”

Oliver Tavakoli, CTO Vectra AI, berpendapat bahwa sifat keamanan siber sendirilah yang menyebabkan masalah ini. Meskipun CISO mengeluarkan memo rutin kepada para eksekutif puncak tentang berbagai isu, memo tersebut sering diabaikan hingga terjadi keadaan darurat keamanan.

“Keamanan siber hanya ditangani selama krisis. Hampir selalu, percakapan itu terjadi dalam situasi negatif. Itu membuatnya sangat sulit untuk mengembangkan hubungan itu, ”kata Tavakoli. “Sebagian besar CISO terpaku untuk menjadi pahlawan bagi CISO lain dan bukan bagi C-suite lainnya.”

Brian Walker, CEO Cap Group, sebuah perusahaan konsultan keamanan siber, menambahkan: “Ini semua tentang otoritas dan rasa hormat. Jika Anda mempunyai wewenang dan atasan Anda tidak mendukung Anda, maka CISO sebenarnya tidak mempunyai wewenang.”

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Otomotif / EV, Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• BlockOffset. Modernisasi Kepemilikan Offset Lingkungan. Akses Di Sini.
• Sumber: https://www.darkreading.com/edge-articles/cisos-need-backing-to-take-charge-of-security