CISO au nevoie de sprijin pentru a prelua securitatea

Potrivit unui raport recent, doar 5 dintre companiile Fortune 100 își numără șeful de securitate atunci când listează top management.

Rolul CISO și relația acestuia cu influența iar influența a fost întotdeauna un dans cu vechea gardă corporativă. Are CISO cu adevărat autoritatea de a opri un director de linie de afaceri să facă ceva riscant? Și dacă CISO încearcă, va CISO primește sprijin de la CEO si altii?

Un recent Discuție pe LinkedIn inițiată de Derek Andrews, directorul operațiunilor de securitate cibernetică și răspuns la incident pentru o mare nonprofit pe care a spus că preferă să nu o identifice, a încapsulat destul de bine temerile.

„Rolul CISO nu este cu adevărat șeful altceva decât acela de a fi persoana care să accepte căderea atunci când este momentul potrivit. CISO nu sunt în cercul interior al CEO-ului. Sunt ca al patrulea inel. Asta înseamnă că vânzarea de securitate trebuie să treacă prin alte trei înainte de a obține aprobarea organizațională reală și, până la acel moment, este redusă pentru a face mai multă formare de phishing”, a scris Andrews.

Andrews a ridicat apoi o întrebare critică: De ce întreprinderile permit fiecărei unități de afaceri să decidă singură dacă ceva este prea riscant, mai degrabă decât CISO?

„Nu am văzut niciodată niciun loc care să permită fiecărei unități de afaceri să-și conducă propria rețea. Deci, de ce permitem cuiva din marketing să accepte un risc cibernetic care poate afecta fiecare unitate de afaceri din organizație? Acceptarea ar însemna proprietate și știm cu toții că responsabilitatea nu vine niciodată la riscul cibernetic care acceptă unitățile de afaceri. CISO este cel care ia cădere”, a scris Andrews. „CFO are autoritatea finală în ceea ce privește riscul financiar și performanța. Nu vei auzi niciodată un CFO spunând „Ei bine, dacă accepți riscul, atunci poți să o faci”. Acest lucru nu este ceva ce fac ei. În calitate de șef, ei sunt autoritatea finală și sunt trași la răspundere pentru tot ce se află sub domeniul lor.”

Învață limbajul de leadership

De ce companiile oferă CISO-urilor lor mult mai puțină putere decât alți directori de nivel C? Acest lucru nu subminează doar strategia de securitate cibernetică a întreprinderii. Poate avea impactul indirect de a scădea și mai mult gradul de securitate, pe măsură ce CISO devin timizi că vor fi depășiți și vor începe să dea undă verde eforturilor despre care știu că nu ar trebui aprobate.

Barak Engel, CEO-ul firmei de securitate EAmmune și autor al De ce CISO eșuează, susține că o mare parte din această problemă provine din Wall Street și din alte forțe ale pieței. Când sunt anunțate încălcări majore de securitate, companiile vor observa uneori o scădere a prețului acțiunilor, dar este aproape întotdeauna foarte temporară.

„Încălcările nu au efecte negative pe termen lung. Prețurile acțiunilor se recuperează destul de repede”, spune Engel. „Consultația CEO-ului este că securitatea nu contează după primele câteva luni. Dar CISO-i descrie acest lucru ca fiind cu adevărat înfricoșător, iar directorii executivi sunt sceptici.”

Deși s-a spus de multe ori, Engel susține că acest lucru se întoarce la CISO nu comunică eficient către CEO - și șefii unităților de afaceri - în termeni puri de afaceri. „Doar o dată vreau să aud un CISO folosind termenul „flux de numerar”. Dacă tot ce auzim de la tine sunt povești înfricoșătoare, atunci nu ai învățat ce înseamnă să fii un C-level. Nu ați adoptat limbajul afacerii”, spune el.

Construiți buy-in de afaceri

O altă parte a problemei este relativa noutate, cel puțin pe placa strategică a CEO-ului, de securitate cibernetică. Suita CEO a companiilor din Fortune 500 a avut generații de experiență în înțelegerea și familiarizarea cu riscurile și incertitudinile care există în cadrul unităților juridice, financiare, HR, IR, conformitate și alte unități de afaceri. Dar riscul de securitate cibernetică pare ciudat și greu de stăpânit pentru mulți directori executivi.

„Majoritatea riscurilor de afaceri sunt statice, dar riscul cibernetic nu este absolut”, spune Dirk Hodgson, directorul de securitate cibernetică pentru NTT Australia. „În securitatea cibernetică, riscurile nu sunt universal agreate sau clare. S-ar putea să nu fie lipsă de respect față de CISO, cât și comunicarea slabă într-un context de afaceri. Există o diferență fundamentală în așteptări între securitatea cibernetică și alte unități de afaceri. Până când vom remedia asta, vom rămâne blocați în același loc.”

Oliver Tavakoli, CTO al Vectra AI, susține că natura securității cibernetice în sine provoacă această problemă. Chiar dacă CISO emite în mod regulat memorii directorilor de top cu privire la diverse probleme, acestea sunt adesea ignorate până când apare o urgență de securitate.

„Securitatea cibernetică este tratată doar în timpul unei crize. Aproape întotdeauna, acea conversație are loc în timpul unei situații negative. Asta face foarte dificilă dezvoltarea acestui raport”, spune Tavakoli. „Cei mai mulți CISO sunt lipiți să fie eroi pentru alți CISO și nu pentru restul C-suitei.”

Adaugă Brian Walker, CEO al Cap Group, o firmă de consultanță în domeniul securității cibernetice: „Totul este despre autoritate și respect. Dacă ai autoritatea și șeful tău nu te susține, atunci CISO nu are cu adevărat autoritatea.”

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. Automobile/VE-uri, carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• BlockOffsets. Modernizarea proprietății de compensare a mediului. Accesați Aici.
• Sursa: https://www.darkreading.com/edge-articles/cisos-need-backing-to-take-charge-of-security