CISO-er kjemper for C-Suite-status selv når forventningene skyter i været

CISOer blir i økende grad bedt om å påta seg ansvaret for det som normalt vil bli ansett som en C-suite-rolle, men uten å bli sett på eller behandlet som det i mange organisasjoner, har en ny undersøkelse blant 663 sikkerhetsledere vist.

Undersøkelsen ble utført av IANS i samarbeid med Artico Search, og spurte CISOer om en rekke spørsmål knyttet til jobbene deres, deres ansvar, ledelsesstøtte og andre emner.

Hele 75 % av dem sa at de ser etter en jobbbytte.

Forventningene til CISO-rollen har endret seg

Svarene viste at forventningene til CISO-rollen har endret seg dramatisk hos organisasjoner i offentlig og privat sektor, blant annet på grunn av økt kontroll fra regulatorer og økende krav om ansvarlighet for sikkerhetsbrudd.

Som et eksempel, undersøkelsesrapport pekte på regler som de som ble vedtatt av Securities and Exchange Commission (SEC) i juli i fjor som krever at børsnoterte selskaper rapporterer alle vesentlige sikkerhetshendelser innen fire dager etter at hendelsen skjedde. Et annet eksempel er utstedelse av New York State Department of Financial Services (NYDFS). nye krav til cybersikkerhet for finansielle tjenester.

"Regulatorer holder nå CISOer ansvarlige for åpenhet og til og med svindel på vegne av deres organisasjoner," heter det i IANS og Artico-rapporten. Det er en økende forventning om at CISO først og fremst vil fungere som en forretningsrisikostyringsfunksjon, med en tydelig stemme på ledermøter og en direkte kommunikasjonslinje med administrerende direktør og C-suite. Likevel, "til tross for at rolleforventningene er hevet til C-nivå, sliter CISO-er med å bli sett på som sådan, og CISO-rollen er ofte ikke en del av seniorlederteamet."

Undersøkelsen viste for eksempel at mens mer enn 63 % av CISO-er har en visepresident eller direktørstilling, er bare 20 % på C-suite-nivå til tross for at de har «sjef» i tittelen. Når det gjelder organisasjoner med inntekter på mer enn 1 milliard dollar, er dette tallet enda mindre, med 15 %. Fra et rapporteringsstandpunkt er urovekkende 90 % av CISOer minst to eller flere organisasjonsnivåer fjernet fra administrerende direktør og C-suite. Bare 50 % engasjerer seg i selskapets styre på kvartalsbasis. En fjerdedel engasjerer seg i styret bare en eller to ganger i året, 12 % møter styret på ad hoc basis, og 13 % rapporterer at de ikke har kontakt med styret i det hele tatt.

Mangel på veiledning for CISO-ansvar

I mange tilfeller får ikke CISOer som ønsker klar risikoveiledning fra styret deres. Knapt mer enn en tredjedel (36 %) beskrev styret deres som å tilby dem klar nok innsikt i organisasjonens risikotoleransenivåer til at de kan handle på det.

"Utviklingen av CISO-rollen de siste årene har akselerert dramatisk," sier Nick Kakolowski, forskningsdirektør ved IANS. Med organisasjoner som digitaliserer mer av sin virksomhet, tar CISOer på seg mer ansvar og har blitt de facto eiere av digital risiko, sier han. "[Men] organisasjoner har ikke funnet ut hvordan de kan støtte og styrke dem etter hvert som omfanget av rollen vokser."

Bekymringer har vokst i CISO-fellesskapet de siste årene om de eskalerende forventningene rundt rollen, selv om deres evne til å møte disse forventningene har holdt seg stort sett uendret. Hendelser som en i oktober i fjor hvor SEC anklaget SolarWinds CISO Tim Brown for svindel og internkontrollsvikt over 2020-bruddet på selskapet, og hvor en dommer dømt tidligere Uber CISO Joe Sullivan til tre års prøvetid etter et brudd i 2016, har gitt næring til disse bekymringene. Mens det er en viss debatt om hvorvidt handlingene mot sikkerhetslederne i disse hendelsene var berettiget, har mange hevdet at det er urettferdig å holde dem alene ansvarlige for bruddene.

Historisk skjevhet mot sikkerhet som en funksjon på C-nivå

En av grunnene til at mange organisasjoner fortsatt ikke oppfatter CISOs rolle som tilhørighet i C-suiten er historisk skjevhet, sier Kakolowski. "CISOer har en tendens til å bli oppfattet - ofte urettferdig - som teknikere som ikke kan bedriftens språk," sier han, og legger til at de ofte har en tendens til å bli tullete når det kommer til kompetanseutvikling. Innsats der har ofte en tendens til å fokusere på tekniske evner og teamledelse, snarere enn på utvikling av lederkompetanse.

Noe av det er også treghet. Store, komplekse organisasjoner bruker tid på å tilpasse seg nye utfordringer og organisatoriske endringer.

"Den største utfordringen er kampen for å finne tilpasning mellom CISO-ene og resten av C-suiten," sier Kakolowski. "Bedriftsledere begynner å bli klar over risikoen for å underutnytte CISOer som bedriftsledere, og det er en mulighet for CISOer til å demonstrere sin evne til å tilby verdi til organisasjonen utover backoffice."

Å heve CISO-rollen til der den hører hjemme, i C-suiten, kan ha mange fordeler, hevder Kakolowski. Å være en del av toppledelsen gir CISO bedre bevissthet og synlighet til hvor organisasjonen skal, og gjør det lettere for dem å samarbeide med andre interessenter om digital risikostyring.

"Det posisjonerer CISO for å komme foran risiko, og reduserer dermed friksjonen som kan oppstå når risikoen reduseres," bemerker han.

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.darkreading.com/cybersecurity-operations/cisos-struggle-csuite-status-expectations-skyrocket