CISOer trenger støtte for å ta ansvar for sikkerheten

Ifølge en siste rapport, bare 5 av Fortune 100-selskapene teller sikkerhetssjefen deres når de noterer toppledelsen.

De CISO-rollen og dens forhold til innflytelse og innflytelse har alltid vært en dans med bedriftens gamle garde. Har CISO virkelig myndighet til å stoppe en bransjeleder fra å gjøre noe risikabelt? Og hvis CISO prøver, vil det CISO får støtte fra administrerende direktør og andre?

En fersk LinkedIn-diskusjon initiert av Derek Andrews, direktøren for cybersikkerhetsoperasjoner og hendelsesrespons for en stor ideell organisasjon som han sa at han helst ikke ville identifisere, innkapslet frykten ganske godt.

«CISO-rollen er egentlig ikke sjefen for noe annet enn å være personen som skal ta fallet når tiden er inne. CISOer er ikke i administrerende direktørs indre sirkel. De er som den fjerde ringen ut. Det betyr at sikkerhetssalget må gå gjennom tre andre før det får reell organisatorisk godkjenning, og på den tiden er det utvannet til å gjøre mer phishing-trening,» skrev Andrews.

Andrews reiste deretter et kritisk spørsmål: Hvorfor lar bedrifter hver forretningsenhet bestemme på egenhånd hvis noe er for risikabelt, i stedet for CISO?

«Jeg har aldri sett noe sted som tillot hver forretningsenhet å drive sitt eget nettverk. Så hvorfor lar vi noen innen markedsføring akseptere en cyberrisiko som kan påvirke hver forretningsenhet i organisasjonen? Aksept vil bety eierskap, og vi vet alle at ansvarlighet aldri kommer til cyberrisiko som aksepterer forretningsenheter. Det er CISO som tar fallet,” skrev Andrews. «CFO har endelig myndighet når det gjelder finansiell risiko og ytelse. Du vil aldri høre en finansdirektør si "Vel, hvis du aksepterer risikoen, så kan du gjøre det." Dette er ikke noe de gjør. Som sjefen er de den endelige autoriteten og blir holdt ansvarlige for alt under deres domene.»

Lær lederskapslingo

Hvorfor gir bedrifter sine CISO-er så mye mindre makt enn andre ledere på C-nivå? Dette undergraver ikke bare bedriftens cybersikkerhetsstrategi. Det kan ha den indirekte innvirkningen av å redusere sikkerhetsstillingen enda mer, ettersom CISO-er blir sky for å bli overstyrt og starte grønnlysarbeid som de vet ikke bør godkjennes.

Barak Engel, administrerende direktør i sikkerhetsfirmaet EAmmune og forfatter av Hvorfor CISOs mislykkes, hevder at mye av dette problemet stammer fra Wall Street og andre markedskrefter. Når store sikkerhetsbrudd blir annonsert, vil selskaper noen ganger se et fall i aksjekursen, men det er nesten alltid veldig midlertidig.

"Brudd har ikke langsiktige negative konsekvenser. Aksjekursene tar seg opp ganske raskt, sier Engel. «Administrerende direktør er at sikkerheten ikke betyr noe etter de første månedene. Men CISOer maler det som virkelig skummelt, og administrerende direktører er skeptiske.»

Selv om det har blitt sagt mange ganger, fastholder Engel at dette går tilbake til CISO-er kommuniserer ikke effektivt til administrerende direktør – og forretningsenhetsledere – rent forretningsmessig. "Bare en gang jeg vil høre en CISO bruke begrepet "kontantstrøm." Hvis alt vi hører fra deg er skumle historier, så har du ikke lært hva det vil si å være et C-nivå. Du har ikke adoptert språket i virksomheten, sier han.

Bygg opp innkjøp av virksomhet

En annen del av problemet er det pårørende nyhet, i hvert fall på konsernsjefens strategiske tallerken, av cybersikkerhet. Administrerende direktør-suiten i Fortune 500-selskapene har hatt generasjoners erfaring med å forstå og bli komfortabel med risikoer og usikkerheter som finnes innenfor juridiske, finansielle, HR, IR, compliance og andre forretningsenheter. Men cybersikkerhetsrisiko virker vanskelig og vanskelig å mestre for mange administrerende direktører.

"De fleste forretningsrisikoer er statiske, men cyberrisiko er det absolutt ikke," sier Dirk Hodgson, direktør for cybersikkerhet for NTT Australia. "I cybersikkerhet er risikoene ikke universelt enige eller klare. Det er kanskje ikke manglende respekt for CISO så mye som dårlig kommunikasjon i en forretningssammenheng. Det er en grunnleggende forskjell i forventninger mellom cybersikkerhet og andre forretningsenheter. Inntil vi fikser det, kommer vi til å sitte fast på samme sted.»

Oliver Tavakoli, CTO for Vectra AI, argumenterer for at cybersikkerhetens natur forårsaker dette problemet. Selv om CISO utsteder regelmessige notater til toppledere om ulike problemer, blir de ofte ignorert inntil en sikkerhetsnød oppstår.

«Sybersikkerhet håndteres bare under en krise. Nesten alltid er den samtalen i en negativ situasjon. Det gjør det veldig vanskelig å utvikle denne relasjonen, sier Tavakoli. "De fleste CISO-er holder fast ved å være helter for andre CISO-er og ikke for resten av C-suiten."

Brian Walker, administrerende direktør i Cap Group, et konsulentfirma for cybersikkerhet, legger til: «Det handler om autoritet og respekt. Hvis du har autoriteten og sjefen din ikke støtter deg, så har ikke CISO egentlig autoriteten."

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Bil / elbiler, Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• BlockOffsets. Modernisering av eierskap for miljøkompensasjon. Tilgang her.
• kilde: https://www.darkreading.com/edge-articles/cisos-need-backing-to-take-charge-of-security