CISOs זקוקים לגיבוי כדי לקחת אחריות על האבטחה

פי הדו"ח האחרון, רק 5 מחברות Fortune 100 סופרות את ראש האבטחה שלהן ברשימה של ההנהלה הבכירה.

השמיים תפקיד CISO והקשר שלו לכוח והשפעה תמיד הייתה ריקוד עם השומר הוותיק של החברה. האם ל-CISO באמת יש סמכות למנוע מבכירים בתחום העסקים לעשות משהו מסוכן? ואם ה-CISO ינסה, האם CISO מקבלים גיבוי מהמנכ"ל ואחרים?

אחרון דיון בלינקדאין שיזם דרק אנדרוז, מנהל תפעול אבטחת הסייבר ותגובה לאירועים בעמותה גדולה, שלדבריו הוא מעדיף לא לזהות, כילם היטב את החששות.

"התפקיד של CISO הוא לא באמת המנהיג של שום דבר מלבד להיות האדם שייקח את הנפילה כשהזמן מתאים. CISOs אינם במעגל הפנימי של המנכ"ל. הם כמו הטבעת הרביעית. זה אומר שהמכירה האבטחה צריכה לעבור שלושה אחרים לפני שהיא תקבל אישור ארגוני אמיתי, ועד אז היא ירדה לביצוע אימוני פישינג נוספים", כתב אנדרוס.

אנדרוז העלה אז שאלה קריטית: מדוע ארגונים מאפשרים לכל יחידה עסקית להחליט בעצמם אם משהו מסוכן מדי, ולא ל-CISO?

"מעולם לא ראיתי מקום שאפשר לכל יחידה עסקית לנהל רשת משלה. אז למה אנחנו מאפשרים למישהו בשיווק לקבל סיכון סייבר שיכול להשפיע על כל יחידה עסקית בארגון? קבלה פירושה בעלות וכולנו יודעים שאחריות אף פעם לא מגיעה לסיכוני סייבר בקבלת יחידות עסקיות. זה ה-CISO שלוקח את הנפילה", כתב אנדרוז. "למנהל הכספים יש סמכות סופית בכל הנוגע לסיכון פיננסי ולביצועים. לעולם לא תשמע סמנכ"ל כספים אומר 'ובכן, אם אתה מקבל את הסיכון, אז אתה יכול לעשות את זה'. זה לא משהו שהם עושים. כצ'יף הם הסמכות הסופית ונושאים דין וחשבון על כל מה שתחת התחום שלהם".

למד לינגו מנהיגות

מדוע ארגונים נותנים ל-CISO שלהם הרבה פחות כוח מאשר מנהלים אחרים ברמת C? זה לא רק מערער את אסטרטגיית אבטחת הסייבר הארגונית. יכולה להיות לכך השפעה עקיפה של הפחתת מצב האבטחה עוד יותר, מכיוון ש-CISO מתביישים בנשק שיעקפו אותם ויתחילו להאיר מאמצים שהם יודעים שאסור לאשר.

ברק אנגל, מנכ"ל חברת האבטחה EAmmune ו מחבר מדוע CISOs נכשלים, טוען שחלק גדול מהבעיה הזו נובע מוול סטריט ומכוחות שוק אחרים. כאשר מכריזים על פרצות אבטחה גדולות, חברות יראו לפעמים צניחה במחיר המניה שלהן, אבל זה כמעט תמיד מאוד זמני.

"לפריצות אין השפעות שליליות ארוכות טווח. מחירי המניות מתאוששים די מהר", אומר אנגל. "העיקרון של המנכ"ל הוא שהאבטחה לא משנה אחרי החודשים הראשונים. אבל CISO מציירים את זה כמפחיד באמת, ומנכ"לים סקפטיים".

למרות שזה נאמר פעמים רבות, אנגל טוען שהדבר הזה חוזר אליו CISOs אינם מתקשרים ביעילות למנכ"ל - ולראשי יחידות עסקיות - במונחים עסקיים טהורים. "רק פעם אחת אני רוצה לשמוע CISO משתמש במונח 'תזרים מזומנים'. אם כל מה שאנחנו שומעים ממך הם סיפורים מפחידים, אז לא למדת מה זה אומר להיות רמה C. לא אימצת את השפה של העסק", הוא אומר.

בניית רכישה עסקית

חלק נוסף בבעיה הוא היחסי חדשנות, לפחות בצלחת האסטרטגית של המנכ"ל, של אבטחת סייבר. לחבילת המנכ"לים בחברות Fortune 500 יש דורות של ניסיון בהבנת סיכונים ואי ודאויות שקיימים ביחידות משפטיות, פיננסיות, משאבי אנוש, IR, ציות ויחידות עסקיות אחרות. אבל סיכון אבטחת סייבר נראה מביך וקשה לשלוט למנכ"לים רבים.

"רוב הסיכונים העסקיים הם סטטיים, אבל סיכוני סייבר ממש לא", אומר דירק הודג'סון, מנהל אבטחת הסייבר של NTT אוסטרליה. "באבטחת סייבר, הסיכונים אינם מוסכמים או ברורים. זה אולי לא חוסר כבוד ל-CISO כמו תקשורת לקויה בהקשר עסקי. יש הבדל מהותי בציפיות בין אבטחת סייבר ליחידות עסקיות אחרות. עד שנתקן את זה, אנחנו נישאר תקועים באותו מקום".

אוליבר טבאקולי, ה-CTO של Vectra AI, טוען שאופי אבטחת הסייבר עצמו גורם לבעיה זו. למרות שה-CISO מוציא תזכירים קבועים למנהלים בכירים על נושאים שונים, לעתים קרובות מתעלמים מהם עד שמתרחש חירום ביטחוני.

"אבטחת סייבר מטופלת רק בזמן משבר. כמעט תמיד, השיחה הזו היא במצב שלילי. זה מקשה מאוד על פיתוח הקשר הזה", אומר טבאקולי. "רוב ה-CISOs תקועים להיות גיבורים עבור CISOs אחרים ולא לשאר ה-C-suite."

מוסיף בריאן ווקר, מנכ"ל Cap Group, חברת ייעוץ לאבטחת סייבר: "הכל עניין של סמכות וכבוד. אם יש לך את הסמכות והבוס שלך לא מגבה אותך, אז ל-CISO אין באמת את הסמכות”.

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. רכב / רכבים חשמליים, פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• BlockOffsets. מודרניזציה של בעלות על קיזוז סביבתי. גישה כאן.
• מקור: https://www.darkreading.com/edge-articles/cisos-need-backing-to-take-charge-of-security