Директора по информационной безопасности борются за статус топ-менеджеров, хотя ожидания стремительно растут

Как показал новый опрос 663 руководителей службы безопасности, директора по информационной безопасности все чаще просят взять на себя обязанности, которые обычно считаются ролью высшего руководства, но во многих организациях они не рассматриваются и не рассматриваются как таковые.

Опрос был проведен IANS в сотрудничестве с Artico Search, в ходе которого директора по информационной безопасности были опрошены по различным вопросам, связанным с их работой, обязанностями, управленческой поддержкой и другими темами.

Целых 75% из них заявили, что ищут смену работы.

Ожидания от роли директора по информационной безопасности изменились

Ответы показали, что ожидания в отношении роли директора по информационной безопасности резко изменились в организациях государственного и частного секторов, среди прочего, из-за усиления контроля со стороны регулирующих органов и растущих требований об ответственности за нарушения безопасности.

В качестве примера отчет об обследовании указал на правила, подобные тем, которые были приняты Комиссия по ценным бумагам и биржам (SEC) в июле прошлого года, которые требуют от публичных компаний сообщать обо всех инцидентах, связанных с материальной безопасностью, в течение четырех дней после того, как инцидент произошел. Другим примером является выпуск Департаментом финансовых услуг штата Нью-Йорк (NYDFS). новые требования кибербезопасности для компаний финансовых услуг.

«Регулирующие органы теперь требуют от CISO ответственности за прозрачность и даже мошенничество от имени своих организаций», — говорится в отчете IANS и Artico. Растет ожидание, что директор по информационной безопасности будет в первую очередь выполнять функции по управлению бизнес-рисками, имея четкий голос на собраниях исполнительного руководства и прямую связь с генеральным директором и высшим руководством. Тем не менее, «несмотря на то, что ролевые ожидания повышены до уровня C, директора по информационной безопасности изо всех сил стараются, чтобы их считали таковыми, а роль директора по информационной безопасности часто не является частью команды высшего руководства».

Опрос показал, например, что, хотя более 63% директоров по информационной безопасности занимают должности уровня вице-президента или директора, только 20% находятся на уровне высшего руководства, несмотря на то, что в их названии есть слово «руководитель». В случае организаций с выручкой более $1 млрд эта цифра еще меньше — 15%. С точки зрения отчетности, тревожные 90% директоров по информационной безопасности находятся как минимум на двух или более организационных уровнях, отстраненных от генерального директора и высшего руководства. Лишь 50% общаются с советом директоров своей компании ежеквартально. Четверть общается с советом директоров всего один или два раза в год, 12% встречаются с советом директоров исключительно от случая к случаю, а 13% сообщают, что вообще не контактируют с советом директоров.

Отсутствие руководства по ответственности CISO

Во многих случаях директора по информационной безопасности, которым нужны четкие инструкции по рискам от своего совета директоров, не получают их. Едва более трети (36%) заявили, что совет директоров дает им достаточно четкое представление об уровнях толерантности к риску в их организации, чтобы они могли действовать в соответствии с ними.

«Эволюция роли CISO за последние несколько лет резко ускорилась», — говорит Ник Каковски, директор по исследованиям IANS. По его словам, поскольку организации переводят все больше своих операций в цифровую форму, директора по информационной безопасности берут на себя больше обязанностей и становятся фактическими владельцами цифровых рисков. «[Но] организации не придумали, как их поддержать и расширить возможности по мере роста масштабов роли».

В последние годы в сообществе директоров по информационной безопасности растет обеспокоенность по поводу растущих ожиданий в отношении этой должности, даже несмотря на то, что их способность оправдать эти ожидания осталась в основном неизменной. Инциденты, подобные инциденту в октябре прошлого года, когда SEC обвинила директора по информационной безопасности SolarWinds Тима Брауна в мошенничество и сбои внутреннего контроля о нарушении в компании в 2020 году, и где судья приговорен бывшему директору по информационной безопасности Uber Джо Салливану к трем годам испытательного срока за нарушение закона в 2016 году только усилили эти опасения. Хотя ведутся споры о том, были ли оправданы действия против руководителей службы безопасности в этих инцидентах, многие утверждают, что несправедливо возлагать ответственность за нарушения только на них.

Историческое предубеждение в отношении безопасности как функция высшего уровня

По словам Каковски, одной из причин, по которой многие организации до сих пор не воспринимают роль директора по информационной безопасности как члена высшего руководства, является историческая предвзятость. «Директоров по информационной безопасности, как правило, воспринимают (часто несправедливо) как технических специалистов, которые не говорят на языке бизнеса», — говорит он, добавляя, что они часто заблуждаются, когда дело доходит до развития навыков. Усилия там часто сосредотачиваются на технических возможностях и руководстве командой, а не на развитии управленческих навыков.

Отчасти это тоже инерция. Большим и сложным организациям требуется время, чтобы приспособиться к новым вызовам и организационным изменениям.

«Самая большая проблема — это борьба за нахождение согласованности между директорами по информационной безопасности  и остальными членами высшего руководства», — говорит Каковски. «Бизнес-лидеры начинают осознавать риск недостаточного использования CISO в качестве руководителей бизнеса, и у CISO появляется возможность продемонстрировать свою способность предлагать ценность для организации за пределами бэк-офиса».

По мнению Каковски, повышение роли директора по информационной безопасности до уровня высшего руководства может принести много преимуществ. Будучи частью высшего руководства, директора по информационной безопасности лучше осведомлены и видят, в каком направлении движется организация, а также облегчают им сотрудничество с другими заинтересованными сторонами в области управления цифровыми рисками.

«Это позволяет CISO опережать риски, тем самым уменьшая трения, которые могут возникнуть при снижении рисков», — отмечает он.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/cybersecurity-operations/cisos-struggle-csuite-status-expectations-skyrocket