Os CISOs precisam de apoio para assumir o controle da segurança

De acordo com uma relatório recente, apenas 5 das empresas da Fortune 100 contam seu chefe de segurança ao listar a alta administração.

A Papel do CISO e sua relação com a influência e a influência sempre foi uma dança com a velha guarda corporativa. O CISO realmente tem autoridade para impedir que um executivo de linha de negócios faça algo arriscado? E se o CISO tentar, o CISO recebe apoio do CEO e outros?

Um recente Discussão no LinkedIn iniciada por Derek Andrews, o diretor de operações de segurança cibernética e resposta a incidentes de uma grande organização sem fins lucrativos que ele disse preferir não identificar, resumiu bem os temores.

“O papel do CISO não é realmente o chefe de nada além de ser a pessoa que assumirá a responsabilidade quando for a hora certa. Os CISOs não estão no círculo interno do CEO. Eles são como o quarto toque. Isso significa que a venda de segurança tem que passar por três outras antes de obter a aprovação organizacional real e, nesse momento, é diluída para fazer mais treinamento de phishing”, escreveu Andrews.

Andrews então levantou uma questão crítica: por que as empresas permitem que cada unidade de negócios decida por conta própria se algo é excessivamente arriscado, em vez do CISO?

“Nunca vi um lugar que permitisse que cada unidade de negócios administrasse sua própria rede. Então, por que estamos permitindo que alguém do marketing aceite um risco cibernético que pode afetar todas as unidades de negócios da organização? A aceitação significaria propriedade e todos nós sabemos que a responsabilidade nunca chega às unidades de negócios que aceitam riscos cibernéticos. É o CISO que leva a culpa”, escreveu Andrews. “O CFO tem autoridade final quando se trata de risco financeiro e desempenho. Você nunca ouvirá um CFO dizer 'Bem, se você aceitar o risco, então pode fazê-lo'. Isso não é algo que eles fazem. Como chefe, eles são a autoridade final e são responsáveis ​​por tudo sob seu domínio”.

Aprenda a Linguagem de Liderança

Por que as empresas dão a seus CISOs muito menos poder do que outros executivos de nível C? Isso não apenas prejudica a estratégia de segurança cibernética da empresa. Isso pode ter o impacto indireto de diminuir ainda mais a postura de segurança, pois os CISOs ficam com medo de serem substituídos e iniciam esforços de luz verde que sabem que não devem ser aprovados.

Barak Engel, CEO da empresa de segurança EAmmune e autor de Por que os CISOs falham, argumenta que grande parte desse problema decorre de Wall Street e outras forças do mercado. Quando grandes violações de segurança são anunciadas, as empresas às vezes veem uma queda no preço de suas ações, mas quase sempre é muito temporário.

“As violações não têm impactos negativos de longo prazo. Os preços das ações se recuperam rapidamente”, diz Engel. “A conclusão do CEO é que a segurança não importa depois dos primeiros meses. Mas os CISOs pintam isso como realmente assustador, e os CEOs são céticos.”

Embora tenha sido dito muitas vezes, Engel afirma que isso remonta a CISOs que não se comunicam efetivamente ao CEO — e chefes de unidade de negócios — em termos puramente comerciais. “Só uma vez quero ouvir um CISO usar o termo 'fluxo de caixa'. Se tudo o que ouvimos de você são histórias assustadoras, então você não aprendeu o que significa ser um C-level. Você não adotou a linguagem do negócio”, afirma.

Crie uma adesão comercial

Outra parte do problema é a relativa novidade, pelo menos no prato estratégico do CEO, de cibersegurança. A suíte CEO em empresas da Fortune 500 teve gerações de experiência em entender e se sentir confortável com os riscos e incertezas que existem nas áreas jurídica, financeira, RH, RI, conformidade e outras unidades de negócios. Mas o risco de segurança cibernética parece estranho e difícil de dominar para muitos CEOs.

“A maioria dos riscos de negócios é estática, mas o risco cibernético absolutamente não é”, diz Dirk Hodgson, diretor de segurança cibernética da NTT Australia. “Na segurança cibernética, os riscos não são universalmente aceitos ou claros. Pode não ser um desrespeito ao CISO tanto quanto uma comunicação ruim em um contexto de negócios. Há uma diferença fundamental nas expectativas entre segurança cibernética e outras unidades de negócios. Até consertarmos isso, ficaremos presos no mesmo lugar.”

Oliver Tavakoli, CTO da Vectra AI, argumenta que a própria natureza da segurança cibernética causa esse problema. Embora o CISO esteja emitindo memorandos regulares para os principais executivos sobre vários assuntos, eles geralmente são ignorados até que ocorra uma emergência de segurança.

“A segurança cibernética só é tratada durante uma crise. Quase sempre, essa conversa ocorre durante uma situação negativa. Isso torna muito difícil desenvolver esse relacionamento”, diz Tavakoli. “A maioria dos CISOs se limita a ser heróis para outros CISOs e não para o resto do C-suite.”

Acrescenta Brian Walker, CEO do Cap Group, uma empresa de consultoria em segurança cibernética: “É tudo uma questão de autoridade e respeito. Se você tem autoridade e seu chefe não o apoia, o CISO realmente não tem autoridade.”

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Automotivo / EVs, Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• BlockOffsets. Modernizando a Propriedade de Compensação Ambiental. Acesse aqui.
• Fonte: https://www.darkreading.com/edge-articles/cisos-need-backing-to-take-charge-of-security