В соответствии с Недавний доклад, только 5 компаний из списка Fortune 100 учитывают своего руководителя службы безопасности при перечислении топ-менеджмента.
Ассоциация Роль CISO и ее связь с влиянием и влияние всегда было танцем со старой корпоративной гвардией. Действительно ли у директора по информационной безопасности есть полномочия мешать руководителю бизнес-направления делать что-то рискованное? И если CISO попытается, будет ли Директор по информационной безопасности получает поддержку от генерального директора и другие?
Недавнее Дискуссия в LinkedIn, инициированная Дереком Эндрюсом, директор по кибербезопасности и реагированию на инциденты в крупной некоммерческой организации, которую, по его словам, он предпочел бы не называть, довольно хорошо выразил опасения.
«Роль директора по информационной безопасности на самом деле не является руководителем чего-либо, кроме того, что он должен взять на себя ответственность, когда придет время. Директора по информационной безопасности не входят в ближайшее окружение генерального директора. Они как четвертое кольцо. Это означает, что продажа ценных бумаг должна пройти через три других, прежде чем она получит реальное организационное одобрение, и к тому времени она сводится к проведению дополнительного обучения фишингу», — написал Эндрюс.
Затем Эндрюс поднял критический вопрос: почему предприятия позволяют каждому бизнес-подразделению самостоятельно решать, является ли что-то чрезмерно рискованным, а не директору по информационной безопасности?
«Я никогда не видел места, где каждое бизнес-подразделение могло бы управлять своей собственной сетью. Так почему же мы позволяем кому-то из отдела маркетинга брать на себя кибер-риск, который может повлиять на каждое бизнес-подразделение в организации? Принятие будет означать ответственность, и мы все знаем, что ответственность никогда не приходит к бизнес-подразделениям, принимающим киберриски. Падение берет на себя директор по информационной безопасности», — написал Эндрюс. «Финансовый директор имеет окончательные полномочия, когда речь идет о финансовых рисках и результатах деятельности. Вы никогда не услышите, чтобы финансовый директор сказал: «Ну, если вы принимаете риск, то вы можете это сделать». Это не то, чем они занимаются. Как вождь они являются последней инстанцией и несут ответственность за все, что находится в их ведении».
Изучите жаргон лидерства
Почему предприятия предоставляют своим директорам по информационной безопасности гораздо меньше полномочий, чем другим руководителям высшего звена? Это не просто подрывает стратегию корпоративной кибербезопасности. Косвенным образом это может привести к еще большему снижению уровня безопасности, поскольку директора по информационной безопасности начинают опасаться, что их могут обойти, и начинают давать зеленый свет усилиям, которые, как им известно, не должны одобряться.
Барак Энгель, генеральный директор охранной фирмы EAmmune и Автор Почему директора по информационной безопасности терпят неудачу, утверждает, что большая часть этой проблемы связана с Уолл-стрит и другими рыночными силами. Когда объявляется о крупных нарушениях безопасности, акции компаний иногда падают в цене, но почти всегда это временное падение.
«Нарушения не имеют долгосрочных негативных последствий. Цены на акции восстанавливаются довольно быстро», — говорит Энгель. «Вывод генерального директора заключается в том, что безопасность не имеет значения после первых нескольких месяцев. Но директора по информационной безопасности считают это действительно пугающим, а руководители настроены скептически».
Хотя об этом говорилось много раз, Энгель утверждает, что это восходит к Директора по информационной безопасности не эффективно общаются генеральному директору — и руководителям бизнес-подразделений — в чисто деловых терминах. «Всего лишь один раз я хочу услышать, как директор по информационной безопасности использует термин «денежный поток». Если все, что мы слышим от вас, это страшные истории, значит, вы не знаете, что значит быть C-level. Вы не переняли язык бизнеса», — говорит он.
Повысьте заинтересованность в бизнесе
Другая часть проблемы связана с относительным новизна, по крайней мере, на стратегической тарелке генерального директора, кибербезопасности. Набор генеральных директоров в компаниях из списка Fortune 500 имеет многолетний опыт понимания и понимания рисков и неопределенностей, существующих в юридических, финансовых, кадровых, IR, комплаенс-подразделениях и других бизнес-подразделениях. Но риск кибербезопасности кажется многим руководителям неудобным и трудным для управления.
«Большинство бизнес-рисков статичны, но киберриски абсолютно не статичны, — говорит Дирк Ходжсон, директор по кибербезопасности NTT Australia. «В кибербезопасности риски не являются общепризнанными или ясными. Это может быть не столько неуважение к директору по информационной безопасности, сколько плохое общение в бизнес-контексте. Существует фундаментальная разница в ожиданиях между кибербезопасностью и другими бизнес-подразделениями. Пока мы не исправим это, мы застрянем на том же месте».
Оливер Таваколи, технический директор Vectra AI, утверждает, что эта проблема вызвана самой природой кибербезопасности. Несмотря на то, что директор по информационной безопасности регулярно выпускает служебные записки для высшего руководства по различным вопросам, они часто игнорируются до тех пор, пока не произойдет чрезвычайная ситуация в области безопасности.
«Кибербезопасностью занимаются только во время кризиса. Почти всегда этот разговор происходит во время негативной ситуации. Это очень затрудняет установление взаимопонимания», — говорит Таваколи. «Большинство директоров по информационной безопасности застряли в том, чтобы быть героями для других директоров по информационной безопасности, а не для остального высшего руководства».
Брайан Уокер, генеральный директор Cap Group, консалтинговой фирмы по кибербезопасности, добавляет: «Все дело в авторитете и уважении. Если у вас есть полномочия, а ваш начальник вас не поддерживает, то у директора по информационной безопасности на самом деле нет полномочий».
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Автомобили / электромобили, Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- Смещения блоков. Модернизация права собственности на экологические компенсации. Доступ здесь.
- Источник: https://www.darkreading.com/edge-articles/cisos-need-backing-to-take-charge-of-security
- :имеет
- :является
- :нет
- $UP
- 100
- 500
- 7
- a
- О нас
- абсолютно
- Принять
- принятие
- принимающий
- отчетность
- подотчетный
- принял
- После
- решено
- AI
- Все
- позволять
- разрешено
- Позволяющий
- всегда
- Amazon
- и
- Эндрюс
- объявило
- любой
- все
- утверждение
- утвержденный
- МЫ
- Утверждает
- AS
- At
- Австралия
- власть
- назад
- поддержка
- BE
- становиться
- было
- до
- не являетесь
- между
- Босс
- нарушения
- Брайан
- бизнес
- но
- by
- С-люкс
- CAN
- глава
- Причины
- Генеральный директор
- руководители
- CFO
- заряд
- главный
- Circle
- CISO
- Очистить
- выходит
- удобный
- Связь
- Компании
- Соответствие закону
- консалтинг
- контекст
- Разговор
- Корпоративное
- кризис
- критической
- CTO
- кибер-
- Информационная безопасность
- танец
- решать
- Дерек
- развивать
- разница
- трудный
- Опустите
- директор
- обсуждение
- do
- приносит
- Безразлично
- дело
- домен
- Дон
- вниз
- в течение
- каждый
- фактически
- усилия
- крайняя необходимость
- инкапсулированный
- Предприятие
- предприятий
- Даже
- Каждая
- многое
- исполнительный
- руководителей высшего звена.
- существовать
- ожидания
- опыт
- достаточно
- Осень
- страх
- несколько
- окончательный
- финансовый
- Фирма
- Во-первых,
- фиксированный
- Что касается
- Войска
- Fortune
- Четвертый
- от
- фундаментальный
- поколения
- получить
- получающий
- Дайте
- Go
- будет
- группы
- Охрана
- было
- происходит
- Есть
- he
- главы
- слышать
- Герой
- Герои
- hr
- HTTPS
- i
- определения
- if
- Влияние
- Воздействие
- in
- инцидент
- реакция на инцидент
- повлиять
- начатый
- мобильной
- вопрос
- вопросы
- эмиссионный
- IT
- ЕГО
- саму трезвость
- JPG
- всего
- Знать
- язык
- большой
- Наша команда
- узнали
- наименее
- Юр. Информация
- Меньше
- такое как
- листинг
- ll
- долгосрочный
- поддерживает
- основной
- ДЕЛАЕТ
- управление
- многих
- рынок
- рыночные силы
- Маркетинг
- мастер
- Вопрос
- Май..
- значить
- означает
- просто
- месяцев
- БОЛЕЕ
- самых
- много
- природа
- Необходимость
- отрицательный
- сеть
- никогда
- некоммерческий
- NTT
- of
- .
- Старый
- on
- консолидировать
- только
- Операционный отдел
- or
- организационной
- Другое
- Другое
- внешний
- собственный
- собственность
- часть
- производительность
- человек
- фишинг
- Часть
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- состояния потока
- мощностью
- цена
- Цены
- Проблема
- вопрос
- быстро
- поднятый
- скорее
- RE
- реальные
- на самом деле
- последний
- Recover
- регулярный
- отношения
- относительный
- уважение
- ответ
- ОТДЫХ
- правую
- кольцо
- Снижение
- рисках,
- рискованный
- Роли
- Run
- s
- Сказал
- то же
- сообщили
- говорит
- безопасность
- нарушения безопасности
- посмотреть
- кажется
- видел
- продаем
- должен
- ситуация
- скептический
- So
- Кто-то
- удалось
- Спотовая торговля
- Начало
- стебли
- акции
- Stop
- Истории
- Стратегический
- Стратегия
- улица
- suite
- взять
- принимает
- временный
- срок
- terms
- чем
- который
- Ассоциация
- их
- тогда
- Там.
- они
- этой
- хоть?
- три
- Через
- время
- раз
- в
- топ
- Обучение
- по-настоящему
- неопределенности
- под
- подрывать
- понимание
- Ед. изм
- единиц
- универсально
- до
- использование
- различный
- Ve
- очень
- ходунки
- стена
- Уолл-стрит
- хотеть
- we
- ЧТО Ж
- Что
- когда
- зачем
- будете
- в
- бы
- писал
- Ты
- ВАШЕ
- зефирнет