CISO potrzebują wsparcia, aby przejąć kontrolę nad bezpieczeństwem

Według ostatnie sprawozdanie, tylko 5 firm z listy Fortune 100 uwzględnia swoich szefów bezpieczeństwa przy wymienianiu najwyższego kierownictwa.

Połączenia Rola CISO i jej związek z przewagą a wpływy zawsze były tańcem ze starą gwardią korporacji. Czy CISO naprawdę ma władzę, aby powstrzymać dyrektora biznesowego od zrobienia czegoś ryzykownego? A jeśli CISO spróbuje, czy CISO otrzymuje wsparcie od CEO i inni?

Ostatnia Dyskusja na LinkedIn zainicjowana przez Dereka Andrewsa, dyrektor ds. operacji związanych z cyberbezpieczeństwem i reagowania na incydenty w dużej organizacji non-profit, której, jak stwierdził, wolałby nie identyfikować, całkiem dobrze ujął te obawy.

„Rola CISO nie jest tak naprawdę najważniejsza poza byciem osobą, która poniesie upadek, gdy nadejdzie odpowiedni czas. CISO nie należą do wewnętrznego kręgu dyrektorów generalnych. Są jak czwarty dzwonek. Oznacza to, że sprzedaż zabezpieczeń musi przejść przez trzy inne firmy, zanim uzyska prawdziwą zgodę organizacji, a do tego czasu zostanie zredukowana do przeprowadzenia dalszych szkoleń w zakresie phishingu” – napisał Andrews.

Następnie Andrews zadał kluczowe pytanie: dlaczego przedsiębiorstwa pozwalają, aby każda jednostka biznesowa sama decydowała, czy coś jest zbyt ryzykowne, a nie CISO?

„Nigdy nie widziałem miejsca, w którym każda jednostka biznesowa mogłaby prowadzić własną sieć. Dlaczego więc pozwalamy komuś z działu marketingu zaakceptować ryzyko cybernetyczne, które może mieć wpływ na każdą jednostkę biznesową w organizacji? Akceptacja oznaczałaby własność, a wszyscy wiemy, że odpowiedzialność nigdy nie dotyczy jednostek biznesowych akceptujących ryzyko cybernetyczne. To CISO ponosi winę na siebie” – napisał Andrews. „CFO ma ostateczną władzę, jeśli chodzi o ryzyko finansowe i wyniki. Nigdy nie usłyszysz, jak dyrektor finansowy mówi: „No cóż, jeśli zaakceptujesz ryzyko, możesz to zrobić”. To nie jest coś, co oni robią. Jako wodzowie są ostateczną władzą i ponoszą odpowiedzialność za wszystko, co podlega ich domenom.

Naucz się Lingo Przywództwa

Dlaczego przedsiębiorstwa dają swoim CISO o wiele mniej uprawnień niż innym menedżerom najwyższego szczebla? Nie tylko podważa to strategię cyberbezpieczeństwa przedsiębiorstwa. Może to mieć pośredni wpływ w postaci jeszcze większego obniżenia poziomu bezpieczeństwa, ponieważ CISO boją się broni, boją się, że zostaną ominięci i zaczną zatwierdzać wysiłki, o których wiedzą, że nie powinny być zatwierdzane.

Barak Engel, dyrektor generalny firmy ochroniarskiej EAmmune i autor Dlaczego CISO zawodzą, twierdzi, że wiele z tego problemu wynika z Wall Street i innych sił rynkowych. Po ogłoszeniu poważnych naruszeń bezpieczeństwa firmy czasami odnotowują spadek cen akcji, ale prawie zawsze jest to bardzo tymczasowe.

„Naruszenia nie mają długoterminowych negatywnych skutków. Ceny akcji dość szybko wracają do normy” — mówi Engel. „Na wynos CEO jest to, że bezpieczeństwo nie ma znaczenia po pierwszych kilku miesiącach. Ale CISO przedstawiają to jako naprawdę przerażające, a dyrektorzy generalni są sceptyczni”.

Choć wielokrotnie o tym mówiono, Engel utrzymuje, że ma to swoje korzenie CISO nie komunikują się skutecznie dyrektorowi generalnemu – i szefom jednostek biznesowych – w kategoriach czysto biznesowych. „Chociaż raz chcę usłyszeć, jak CISO używa terminu „przepływ środków pieniężnych”. Jeśli słyszymy od ciebie tylko przerażające historie, oznacza to, że nie nauczyłeś się, co to znaczy być na poziomie C. Nie przyjęliście języka biznesu” – mówi.

Zbuduj wpisowe dla biznesu

Inną częścią problemu jest krewny nowości, przynajmniej na strategicznej płycie prezesa, cyberbezpieczeństwa. Zespół dyrektorów generalnych w firmach z listy Fortune 500 ma wieloletnie doświadczenie w rozumieniu i oswajaniu się z ryzykiem i niepewnością występującą w działach prawnych, finansowych, HR, IR, Compliance i innych jednostkach biznesowych. Jednak wielu dyrektorom generalnym ryzyko związane z cyberbezpieczeństwem wydaje się niezręczne i trudne do opanowania.

„Większość zagrożeń biznesowych ma charakter statyczny, ale ryzyko cybernetyczne absolutnie nie” – mówi Dirk Hodgson, dyrektor ds. cyberbezpieczeństwa w NTT Australia. „W cyberbezpieczeństwie ryzyko nie jest powszechnie uzgodnione ani jasne. Może to nie tyle brak szacunku wobec CISO, co zła komunikacja w kontekście biznesowym. Istnieje zasadnicza różnica w oczekiwaniach pomiędzy cyberbezpieczeństwem a innymi jednostkami biznesowymi. Dopóki tego nie naprawimy, utkniemy w tym samym miejscu.”

Oliver Tavakoli, CTO Vectra AI, przekonuje, że przyczyną tego problemu jest sama natura cyberbezpieczeństwa. Mimo że CISO regularnie publikuje notatki dla kadry kierowniczej wyższego szczebla dotyczące różnych kwestii, często są one ignorowane do czasu wystąpienia zagrożenia bezpieczeństwa.

„Cyberbezpieczeństwem zajmujemy się tylko w czasie kryzysu. Prawie zawsze ta rozmowa ma miejsce w sytuacji negatywnej. To bardzo utrudnia rozwijanie tej relacji” — mówi Tavakoli. „Większość CISO trzyma się tego, by być bohaterami dla innych CISO, a nie dla reszty kadry kierowniczej”.

Dodaje Brian Walker, dyrektor generalny Cap Group, firmy konsultingowej zajmującej się cyberbezpieczeństwem: „Chodzi o władzę i szacunek. Jeśli masz władzę, a szef cię nie wspiera, oznacza to, że CISO tak naprawdę nie ma takiej władzy”.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Motoryzacja / pojazdy elektryczne, Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Przesunięcia bloków. Modernizacja własności offsetu środowiskowego. Dostęp tutaj.
• Źródło: https://www.darkreading.com/edge-articles/cisos-need-backing-to-take-charge-of-security