CISO's hebben steun nodig om de beveiliging op zich te nemen

Volgens een recent verslagtellen slechts vijf van de Fortune 5-bedrijven hun hoofd van de beveiliging mee bij het vermelden van het topmanagement.

De CISO-rol en de relatie met slagkracht en invloed is altijd een dans geweest voor de oude garde van het bedrijfsleven. Heeft de CISO werkelijk de bevoegdheid om een ​​leidinggevende uit een bepaalde bedrijfstak ervan te weerhouden iets riskant te doen? En als de CISO het probeert, zal de... CISO krijgt steun van de CEO en anderen?

Een recente LinkedIn-discussie geïnitieerd door Derek Andrews, de directeur van cyberbeveiligingsoperaties en incidentrespons voor een grote non-profitorganisatie die hij naar eigen zeggen liever niet wilde identificeren, vatte de angsten vrij goed samen.

“De rol van de CISO is niet echt de baas over iets anders dan de persoon zijn die de verantwoordelijkheid op zich neemt als de tijd rijp is. CISO's maken geen deel uit van de binnenste cirkel van CEO's. Ze zijn als de vierde ring eruit. Dat betekent dat de verkoop van effecten nog drie andere moet doorlopen voordat het echte goedkeuring van de organisatie krijgt, en tegen die tijd is het verwaterd tot meer phishing-training”, schreef Andrews.

Andrews stelde vervolgens een kritische vraag: waarom laten ondernemingen elke business unit zelf beslissen of iets te riskant is, in plaats van de CISO?

“Ik heb nog nooit een plek gezien waar elke bedrijfseenheid zijn eigen netwerk kon beheren. Dus waarom staan ​​we toe dat iemand in de marketing een cyberrisico accepteert dat gevolgen kan hebben voor elke bedrijfseenheid in de organisatie? Acceptatie zou eigenaarschap betekenen en we weten allemaal dat verantwoordelijkheid nooit neerkomt op het accepteren van cyberrisico's bij bedrijfseenheden. Het is de CISO die de schuld op zich neemt”, schreef Andrews. “De CFO heeft de uiteindelijke autoriteit als het gaat om financiële risico’s en prestaties. Je zult een CFO nooit horen zeggen: 'Als je het risico accepteert, dan kun je het doen.' Dit is niet iets wat ze doen. Als chef zijn zij de uiteindelijke autoriteit en worden zij verantwoordelijk gehouden voor alles wat onder hun domein valt.”

Leer Leiderschap Lingo

Waarom geven bedrijven hun CISO's zoveel minder macht dan andere managers op C-niveau? Dit ondermijnt niet alleen de cyberbeveiligingsstrategie van ondernemingen. Het kan de indirecte impact hebben dat de veiligheidspositie nog verder wordt verslechterd, omdat CISO's bang worden dat ze worden overschreven en groen licht gaan geven aan inspanningen waarvan ze weten dat ze niet mogen worden goedgekeurd.

Barak Engel, de CEO van beveiligingsbedrijf EAmmune en auteur van Waarom CISO's falen, stelt dat een groot deel van dit probleem voortkomt uit Wall Street en andere marktkrachten. Wanneer grote inbreuken op de beveiliging worden aangekondigd, zien bedrijven soms een dip in hun aandelenkoers, maar dit is bijna altijd zeer tijdelijk.

“Schendingen hebben geen negatieve gevolgen op de lange termijn. De aandelenkoersen herstellen vrij snel”, zegt Engel. “De conclusie van de CEO is dat beveiliging er na de eerste paar maanden niet meer toe doet. Maar CISO's vinden het echt eng en CEO's zijn sceptisch."

Hoewel het al vaak is gezegd, beweert Engel dat dit teruggrijpt naar CISO's communiceren niet effectief aan de CEO – en de hoofden van de business units – in puur zakelijke termen. “Voor één keer wil ik een CISO de term 'cashflow' horen gebruiken. Als we alleen maar enge verhalen van je horen, dan heb je nog niet geleerd wat het betekent om een ​​C-niveau te hebben. Je hebt de taal van de business niet overgenomen”, zegt hij.

Bouw zakelijke buy-in op

Een ander deel van het probleem is het familielid nieuwheid, althans op de strategische plaat van de CEO, van cyberbeveiliging. De CEO-suite bij Fortune 500-bedrijven heeft generaties lang ervaring met het begrijpen en vertrouwd raken met risico's en onzekerheden die bestaan ​​binnen juridische, financiële, HR-, IR-, compliance- en andere bedrijfseenheden. Maar cyberveiligheidsrisico’s lijken voor veel CEO’s onhandig en moeilijk te beheersen.

“De meeste bedrijfsrisico’s zijn statisch, maar cyberrisico’s zijn dat absoluut niet”, zegt Dirk Hodgson, directeur cybersecurity bij NTT Australia. “Op het gebied van cyberbeveiliging zijn de risico’s niet universeel overeengekomen of duidelijk. Het gaat misschien niet zozeer om gebrek aan respect voor de CISO als wel om slechte communicatie in een zakelijke context. Er is een fundamenteel verschil in verwachtingen tussen cybersecurity en andere bedrijfsonderdelen. Zolang we dat niet oplossen, blijven we op dezelfde plek zitten.”

Oliver Tavakoli, de CTO van Vectra AI, stelt dat de aard van cybersecurity zelf dit probleem veroorzaakt. Ook al geeft de CISO regelmatig memo's uit aan topmanagers over verschillende kwesties, deze worden vaak genegeerd totdat er zich een veiligheidsnoodsituatie voordoet.

“Cybersecurity wordt pas aangepakt tijdens een crisis. Bijna altijd is dat gesprek tijdens een negatieve situatie. Dat maakt het heel moeilijk om die verstandhouding te ontwikkelen', zegt Tavakoli. "De meeste CISO's zijn vastbesloten helden te zijn voor andere CISO's en niet voor de rest van de C-suite."

Brian Walker, de CEO van de Cap Group, een cybersecurityadviesbureau, voegt hieraan toe: “Het draait allemaal om autoriteit en respect. Als jij de autoriteit hebt en je baas staat daar niet achter, dan heeft de CISO niet echt de autoriteit.”

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. Automotive / EV's, carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• BlockOffsets. Eigendom voor milieucompensatie moderniseren. Toegang hier.
• Bron: https://www.darkreading.com/edge-articles/cisos-need-backing-to-take-charge-of-security