CISO がセキュリティを担当するには支援が必要

によると、 最近の報告、フォーチュン 5 企業のうち、経営トップをリストする際にセキュリティ部門の責任者を数えているのは 100 社だけです。

　 CISO の役割とその影響力との関係 そして影響力は常に企業の古い警備員とのダンスでした。 CISO には本当に、基幹業務幹部の危険な行為を阻止する権限があるのでしょうか? CISO が試みれば、 CISO は CEO から支援を受ける その他？

最近の Derek Andrews によって開始された LinkedIn ディスカッション匿名を希望する大規模な非営利団体のサイバーセキュリティ運用およびインシデント対応の責任者である同氏は、その懸念を非常にうまく表現していた。

「CISO の役割は、適切な時期に責任を負う人物であること以外、実際には何もの責任者ではありません。 CISO は CEO の内輪には属しません。 彼らはXNUMX番目のリングアウトのようなものです。 つまり、セキュリティの販売は組織の実際の承認を得るまでに他の XNUMX 社を通過する必要があり、その時点までに、より多くのフィッシング トレーニングを行うことになる」とアンドリュース氏は書いています。

次に、Andrews 氏は重要な質問を提起しました。なぜ企業は、何かが過度にリスクがある場合、CISO ではなく、すべての事業部門が独自に決定することを許可しているのでしょうか。

「各事業部門が独自のネットワークを実行できる場所を見たことがありません。 では、なぜ組織内のすべての事業部門に影響を与える可能性のあるサイバー リスクをマーケティング担当者が受け入れることを許可しているのでしょうか? 受け入れるということは所有権を意味し、サイバーリスクを受け入れる事業部門には決して説明責任が課されないことは誰もが知っています。 責任を負うのはCISOだ」とアンドリュース氏は書いた。 「財務リスクと業績に関しては、CFO が最終的な権限を持っています。 CFO が「リスクを受け入れるなら、やってもいいでしょう」という言葉を聞くことは決してないでしょう。 これは彼らがすることではありません。 首長として、彼らは最終的な権限を持ち、自分たちの領域内のすべてに対して責任を負っています。」

リーダーシップ用語を学ぶ

なぜ企業は CISO に他の経営幹部に比べてはるかに低い権限を与えているのでしょうか? これは単に企業のサイバーセキュリティ戦略を損なうだけではありません。 これは、CISO が自分たちが無効にされることを恐れ、承認されるべきではないと分かっている取り組みにゴーサインを出し始めるため、セキュリティ体制がさらに低下するという間接的な影響を与える可能性があります。

セキュリティ企業EAmmuneのCEO、バラク・エンゲル氏は、 の著者 CISOが失敗する理由、この問題の多くはウォール街やその他の市場原理に起因していると主張しています。 大規模なセキュリティ侵害が発表されると、企業の株価が下落することがありますが、それはほとんどの場合非常に一時的なものです。

「侵害は長期的な悪影響を及ぼしません。 株価はかなり早く回復します」とエンゲル氏は言う。 「CEO の教訓は、セキュリティは最初の数か月を過ぎれば問題ではないということです。 しかし、CISO はそれが本当に恐ろしいものであると考えており、CEO は懐疑的です。」

何度も言われてきたことだが、エンゲルはこれは昔のことを思い起こさせると主張する。 CISO が効果的にコミュニケーションをとっていない CEO、および事業部門の責任者に対して、純粋なビジネス用語で。 「一度だけ、CISO が『キャッシュフロー』という用語を使うのを聞きたいです。 もし私たちがあなたから聞いているのが怖い話ばかりなら、あなたは経営幹部であることが何を意味するのかをまだ学んでいないということです。 ビジネスの言語を採用していないのです」と彼は言います。

ビジネスの賛同を構築する

問題のもう一つの部分は相対的なものです。 少なくともCEOの戦略上の新しさ、サイバーセキュリティの。 Fortune 500 企業の CEO スイートは、法務、財務、人事、IR、コンプライアンス、その他の事業部門内に存在するリスクや不確実性を理解し、慣れ親しんできた何世代にもわたる経験を積んできました。 しかし、多くの CEO にとって、サイバーセキュリティのリスクは扱いにくく、習得するのが難しいように思えます。

「ほとんどのビジネス リスクは静的ですが、サイバー リスクは絶対に静的ではありません」と NTT オーストラリアのサイバーセキュリティ担当ディレクター、ダーク ホジソン氏は言います。 「サイバーセキュリティにおいて、リスクは普遍的に合意されておらず、明確でもありません。 これは、CISO に対する軽視ではなく、ビジネス上のコミュニケーション不足と同じかもしれません。 サイバーセキュリティと他のビジネスユニットの間には、期待されることには根本的な違いがあります。 それを修正するまでは、私たちは同じところから立ち往生することになるでしょう。」

Vectra AI の CTO であるオリバー・タヴァコリ氏は、サイバーセキュリティ自体の性質がこの問題の原因であると主張しています。 CISO はさまざまな問題について経営幹部に定期的にメモを発行していますが、セキュリティ上の緊急事態が発生するまで無視されることがよくあります。

「サイバーセキュリティは危機のときにのみ対処されます。 ほとんどの場合、その会話はネガティブな状況で行われます。 そのため、信頼関係を築くことが非常に難しくなります」とタヴァコリ氏は言う。 「ほとんどの CISO は、他の CISO にとってヒーローであることに固執しており、残りの経営幹部にとってはヒーローではありません。」

サイバーセキュリティコンサルティング会社であるキャップグループの最高経営責任者（CEO）ブライアン・ウォーカー氏は次のように付け加えた。 あなたに権限があり、上司があなたを支援しない場合、CISO には実際の権限はありません。」

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 自動車/EV、 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• ブロックオフセット。 環境オフセット所有権の近代化。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/edge-articles/cisos-need-backing-to-take-charge-of-security