CISO가 보안을 담당하려면 지원이 필요합니다.

A에 따라 최근 보고서, Fortune 5대 기업 중 100개만이 최고 경영진을 나열할 때 보안 책임자를 포함합니다.

XNUMXD덴탈의 CISO 역할과 영향력과의 관계 그리고 영향력은 항상 기업의 노련한 경비원과의 춤이었습니다. CISO는 현업 임원이 위험한 일을 하지 못하도록 막을 수 있는 권한이 진정으로 있습니까? 그리고 CISO가 시도하면 CISO는 CEO의 지원을 받습니다. 다른 사람?

최근 Derek Andrews가 시작한 LinkedIn 토론, 대규모 비영리 단체의 사이버 보안 운영 및 사고 대응 책임자인 그는 식별하지 않겠다고 말했고 두려움을 아주 잘 요약했습니다.

“CISO의 역할은 적절한 시기에 책임을 지는 사람이 아닌 다른 어떤 것의 책임자도 아닙니다. CISO는 CEO 내부 서클에 속하지 않습니다. 그들은 네 번째 링 아웃과 같습니다. 즉, 보안 판매는 실제 조직 승인을 받기 전에 다른 세 가지를 거쳐야 하며 그때까지 더 많은 피싱 교육을 수행하도록 희석됩니다.”라고 Andrews는 썼습니다.

그런 다음 Andrews는 다음과 같은 중요한 질문을 제기했습니다. 지나치게 위험한 것이 있으면 CISO가 아닌 모든 사업부가 자체적으로 결정하도록 기업이 허용하는 이유는 무엇입니까?

“각 사업부가 자체 네트워크를 운영하도록 허용한 곳을 본 적이 없습니다. 그렇다면 조직의 모든 사업부에 영향을 미칠 수 있는 사이버 위험을 마케팅 담당자가 받아들이도록 허용하는 이유는 무엇입니까? 수락은 소유권을 의미하며 우리 모두는 사이버 위험을 수락하는 비즈니스 단위에 대한 책임이 결코 오지 않는다는 것을 알고 있습니다. 넘어지는 것은 CISO입니다.”라고 Andrews는 썼습니다. “CFO는 재정적 위험과 성과에 관한 최종 권한을 가집니다. CFO가 '음, 위험을 감수하면 할 수 있습니다'라고 말하는 것을 결코 듣지 못할 것입니다. 이것은 그들이 하는 일이 아닙니다. 우두머리로서 그들은 최종 권위자이며 그들의 영역 아래 있는 모든 것에 대해 책임을 집니다.”

리더십 용어 배우기

기업이 CISO에게 다른 최고 경영진보다 훨씬 적은 권한을 부여하는 이유는 무엇입니까? 이것은 단순히 기업의 사이버 보안 전략을 약화시키는 것이 아닙니다. CISO가 무시당하고 승인되어서는 안 되는 노력을 승인하기 시작한다는 사실에 부끄러워하기 때문에 보안 태세를 더욱 약화시키는 간접적인 영향을 미칠 수 있습니다.

보안업체 EAmmune의 CEO인 Barak Engel과 의 저자 CISO가 실패하는 이유, 이 문제의 대부분은 월스트리트 및 기타 시장 세력에서 비롯된다고 주장합니다. 주요 보안 침해가 발표되면 회사는 때때로 주가 하락을 보게 되지만 거의 항상 매우 일시적입니다.

“침해는 장기적으로 부정적인 영향을 미치지 않습니다. 주가는 상당히 빠르게 회복됩니다.”라고 Engel은 말합니다. “CEO가 시사하는 바는 처음 몇 달이 지나면 보안은 중요하지 않다는 것입니다. 그러나 CISO는 이를 정말 무서운 것으로 묘사하고 CEO는 회의적입니다.”

여러 번 언급되었지만 Engel은 이것이 다음을 생각나게 한다고 주장합니다. 효과적으로 소통하지 못하는 CISO 순수한 비즈니스 용어로 CEO와 사업부 책임자에게 전달합니다. “한 번만 CISO가 '현금 흐름'이라는 용어를 사용하는 것을 듣고 싶습니다. 우리가 당신에게서 듣는 모든 것이 무서운 이야기라면 C 레벨이 된다는 것이 무엇을 의미하는지 배우지 못한 것입니다. 비즈니스 언어를 채택하지 않았습니다.”라고 그는 말합니다.

비즈니스 바이인 구축

문제의 또 다른 부분은 상대적입니다. 새로움, 적어도 CEO의 전략 판에는, 사이버 보안의. Fortune지 선정 500대 기업의 CEO 스위트는 법률, 재무, HR, IR, 규정 준수 및 기타 비즈니스 단위 내에 존재하는 위험과 불확실성을 이해하고 편안하게 받아들이는 여러 세대의 경험을 가지고 있습니다. 그러나 사이버 보안 위험은 많은 CEO에게 어색하고 마스터하기 어려운 것으로 보입니다.

"대부분의 비즈니스 위험은 정적이지만 사이버 위험은 절대 그렇지 않습니다."라고 NTT Australia의 사이버 보안 책임자인 Dirk Hodgson은 말합니다. “사이버 보안에서 위험은 보편적으로 합의되거나 명확하지 않습니다. 이는 비즈니스 맥락에서 커뮤니케이션이 원활하지 않은 것만큼 CISO에 대한 무례가 아닐 수도 있습니다. 사이버 보안과 다른 사업 단위 간에 기대치에는 근본적인 차이가 있습니다. 우리가 그것을 고칠 때까지 우리는 같은 자리에 갇히게 될 것입니다.”

Vectra AI의 CTO인 Oliver Tavakoli는 사이버 보안의 특성 자체가 이 문제를 야기한다고 주장합니다. CISO는 다양한 문제에 대해 최고 경영진에게 정기적으로 메모를 발행하지만 보안 비상 사태가 발생할 때까지 무시되는 경우가 많습니다.

“사이버 보안은 위기 상황에서만 다루어집니다. 거의 항상 그 대화는 부정적인 상황에서 이루어집니다. 그렇기 때문에 관계를 발전시키는 것이 매우 어렵습니다.”라고 Tavakoli는 말합니다. "대부분의 CISO는 나머지 C-suite가 아닌 다른 CISO의 영웅이 되는 데 집착합니다."

사이버 보안 컨설팅 회사인 Cap Group의 CEO인 Brian Walker는 다음과 같이 덧붙입니다. “모든 것은 권위와 존중에 관한 것입니다. 당신에게 권한이 있고 당신의 상사가 당신을 지원하지 않는다면 CISO는 실제로 권한이 없는 것입니다.”

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 자동차 / EV, 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• BlockOffsets. 환경 오프셋 소유권 현대화. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/edge-articles/cisos-need-backing-to-take-charge-of-security