Secondo un recente rapporto, solo 5 delle aziende Fortune 100 contano il loro capo della sicurezza quando elencano il top management.
Il Il ruolo del CISO e la sua relazione con il potere e l'influenza è sempre stata una danza con la vecchia guardia aziendale. Il CISO ha davvero l'autorità per impedire a un dirigente di una linea di business di fare qualcosa di rischioso? E se il CISO prova, il Il CISO ottiene il sostegno del CEO e altri?
Una recente Discussione su LinkedIn avviata da Derek Andrews, il direttore delle operazioni di sicurezza informatica e della risposta agli incidenti per una grande organizzazione no profit che ha detto che preferirebbe non identificare, ha sintetizzato abbastanza bene i timori.
“Il ruolo di CISO non è in realtà il capo di nient'altro che essere la persona che si prende la colpa quando è il momento giusto. I CISO non sono nella cerchia ristretta del CEO. Sono come il quarto squillo. Ciò significa che la vendita di sicurezza deve passare attraverso altri tre prima di ottenere una vera approvazione organizzativa e, a quel punto, è ridotta a fare più formazione sul phishing", ha scritto Andrews.
Andrews ha quindi sollevato una domanda critica: perché le aziende consentono a ogni unità aziendale di decidere autonomamente se qualcosa è eccessivamente rischioso, piuttosto che al CISO?
“Non ho mai visto un posto che consentisse a ciascuna unità aziendale di gestire la propria rete. Allora perché permettiamo a qualcuno nel marketing di accettare un rischio informatico che può avere un impatto su ogni unità aziendale dell'organizzazione? L'accettazione significherebbe proprietà e sappiamo tutti che la responsabilità non arriva mai alle unità aziendali che accettano il rischio informatico. È il CISO che si prende la colpa”, ha scritto Andrews. “Il CFO ha l'autorità finale quando si tratta di rischio finanziario e performance. Non sentirai mai un CFO dire "Bene, se accetti il rischio, allora puoi farcela". Questo non è qualcosa che fanno. In quanto capo, sono l'autorità finale e sono ritenuti responsabili di tutto ciò che è sotto il loro dominio.
Impara il gergo della leadership
Perché le aziende danno ai loro CISO molto meno potere rispetto ad altri dirigenti di livello C? Ciò non si limita a minare la strategia di sicurezza informatica aziendale. Può avere l'impatto indiretto di ridurre ulteriormente la posizione di sicurezza, poiché i CISO diventano timorosi di essere ignorati e iniziano a dare il via libera a iniziative che sanno non dovrebbero essere approvate.
Barak Engel, CEO della società di sicurezza EAmmune e autore Perché i CISO falliscono, sostiene che gran parte di questo problema deriva da Wall Street e da altre forze di mercato. Quando vengono annunciate gravi violazioni della sicurezza, le aziende a volte vedranno un calo del prezzo delle loro azioni, ma è quasi sempre molto temporaneo.
“Le violazioni non hanno impatti negativi a lungo termine. I prezzi delle azioni si riprendono abbastanza rapidamente", afferma Engel. “L'opinione del CEO è che la sicurezza non ha importanza dopo i primi mesi. Ma i CISO lo dipingono come davvero spaventoso e i CEO sono scettici".
Sebbene sia stato detto molte volte, Engel sostiene che questo si rifà a I CISO non comunicano in modo efficace al CEO - e ai capi delle unità aziendali - in termini di puro business. “Solo una volta voglio sentire un CISO usare il termine 'flusso di cassa'. Se tutto ciò che sentiamo da te sono storie spaventose, allora non hai imparato cosa significa essere un livello C. Non hai adottato il linguaggio del business", dice.
Costruisci il buy-in aziendale
Un'altra parte del problema è il relativo novità, almeno sul piatto strategico del CEO, della sicurezza informatica. La suite di CEO delle aziende Fortune 500 ha avuto generazioni di esperienza nella comprensione e nel sentirsi a proprio agio con i rischi e le incertezze che esistono all'interno delle unità aziendali legali, finanziarie, delle risorse umane, IR, della conformità e di altro tipo. Ma il rischio per la sicurezza informatica sembra scomodo e difficile da padroneggiare per molti amministratori delegati.
"La maggior parte dei rischi aziendali è statica, ma il rischio informatico non lo è assolutamente", afferma Dirk Hodgson, direttore della sicurezza informatica di NTT Australia. “Nella sicurezza informatica, i rischi non sono universalmente concordati o chiari. Potrebbe non essere mancanza di rispetto nei confronti del CISO quanto comunicazioni scadenti in un contesto aziendale. C'è una differenza fondamentale nelle aspettative tra la sicurezza informatica e le altre unità aziendali. Finché non lo risolviamo, rimarremo bloccati nello stesso punto".
Oliver Tavakoli, CTO di Vectra AI, sostiene che la natura stessa della sicurezza informatica causa questo problema. Anche se il CISO invia regolarmente promemoria ai massimi dirigenti su vari problemi, spesso vengono ignorati fino a quando non si verifica un'emergenza di sicurezza.
“La sicurezza informatica viene affrontata solo durante una crisi. Quasi sempre, quella conversazione avviene durante una situazione negativa. Ciò rende molto difficile sviluppare quel rapporto", afferma Tavakoli. "La maggior parte dei CISO si limita a essere eroi per altri CISO e non per il resto della C-suite."
Aggiunge Brian Walker, CEO di Cap Group, una società di consulenza sulla sicurezza informatica: “Si tratta di autorità e rispetto. Se hai l'autorità e il tuo capo non ti sostiene, allora il CISO non ha davvero l'autorità.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Automobilistico/VE, Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- BlockOffset. Modernizzare la proprietà della compensazione ambientale. Accedi qui.
- Fonte: https://www.darkreading.com/edge-articles/cisos-need-backing-to-take-charge-of-security
- :ha
- :È
- :non
- $ SU
- 100
- 500
- 7
- a
- WRI
- assolutamente
- Accetta
- accettazione
- Accettando
- responsabilità
- responsabile
- adottato
- Dopo shavasana, sedersi in silenzio; saluti;
- concordato
- AI
- Tutti
- consentire
- permesso
- Consentire
- sempre
- Amazon
- ed
- andrews
- ha annunciato
- in qualsiasi
- nulla
- approvazione
- approvato
- SONO
- sostiene
- AS
- At
- Australia
- autorità
- precedente
- sostegno
- BE
- diventare
- stato
- prima
- essendo
- fra
- CAPO
- violazioni
- Brian
- affari
- ma
- by
- C-suite
- Materiale
- berretto
- cause
- ceo
- CEO
- cfo
- carica
- capo
- Cerchio
- CISO
- pulire campo
- viene
- confortevole
- Comunicazioni
- Aziende
- conformità
- consulting
- contesto
- Conversazione
- Aziende
- crisi
- critico
- CTO
- Cyber
- Cybersecurity
- danza
- decide
- Derek
- sviluppare
- differenza
- difficile
- Dip
- Direttore
- discussione
- do
- effettua
- doesn
- fare
- dominio
- don
- giù
- durante
- ogni
- in maniera efficace
- sforzi
- emergenza
- incapsulato
- Impresa
- aziende
- Anche
- Ogni
- qualunque cosa
- esecutivo
- dirigenti
- esistere
- le aspettative
- esperienza
- abbastanza
- Autunno
- paure
- pochi
- finale
- finanziario
- Impresa
- Nome
- Fissare
- Nel
- Forze
- Fortune
- Quarto
- da
- fondamentale
- generazioni
- ottenere
- ottenere
- Dare
- Go
- andando
- Gruppo
- Guardia
- ha avuto
- accade
- Avere
- he
- capo
- teste
- sentire
- Eroe
- Heroes
- hr
- HTTPS
- i
- identificare
- if
- Impact
- impatti
- in
- incidente
- risposta agli incidenti
- influenza
- avviato
- ISN
- problema
- sicurezza
- emittente
- IT
- SUO
- stessa
- jpg
- ad appena
- Sapere
- Lingua
- grandi
- Leadership
- imparato
- meno
- Legale
- meno
- piace
- annuncio
- ll
- a lungo termine
- mantiene
- maggiore
- FA
- gestione
- molti
- Rappresentanza
- le forze di mercato
- Marketing
- Mastercard
- Importanza
- Maggio..
- significare
- si intende
- semplicemente
- mese
- Scopri di più
- maggior parte
- molti
- Natura
- Bisogno
- negativo.
- Rete
- mai
- Senza scopo di lucro
- NTT
- of
- di frequente
- Vecchio
- on
- una volta
- esclusivamente
- Operazioni
- or
- organizzativa
- Altro
- Altri
- su
- proprio
- proprietà
- parte
- performance
- persona
- phishing
- posto
- Platone
- Platone Data Intelligence
- PlatoneDati
- povero
- energia
- prezzo
- Prezzi
- Problema
- domanda
- rapidamente
- sollevato
- piuttosto
- RE
- di rose
- veramente
- recente
- Recuperare
- Basic
- rapporto
- parente
- rispetto
- risposta
- REST
- destra
- Anello
- Rischio
- rischi
- Rischioso
- Ruolo
- Correre
- s
- Suddetto
- stesso
- dire
- dice
- problemi di
- violazioni della sicurezza
- vedere
- sembra
- visto
- venda
- dovrebbero
- situazione
- scettico
- So
- Qualcuno
- qualcosa
- Spot
- inizia a
- deriva
- azione
- Fermare
- Storie
- Strategico
- Strategia
- strada
- suite
- Fai
- prende
- temporaneo
- termine
- condizioni
- di
- che
- Il
- loro
- poi
- Là.
- di
- questo
- anche se?
- tre
- Attraverso
- tempo
- volte
- a
- top
- Training
- veramente
- incertezze
- per
- minare
- e una comprensione reciproca
- unità
- unità
- universalmente
- fino a quando
- uso
- vario
- Ve
- molto
- camminatore
- Muro
- Wall Street
- volere
- we
- WELL
- Che
- quando
- perché
- volere
- con
- entro
- sarebbe
- ha scritto
- Tu
- Trasferimento da aeroporto a Sharm
- zefiro
