CISO potrebujejo podporo, da prevzamejo varnost

Glede na nedavno poročilo, samo 5 podjetij s seznama Fortune 100 pri navajanju najvišjega vodstva upošteva svojega vodjo varnosti.

O Vloga CISO in njen odnos do vpliva in vpliv je bil vedno ples s staro gardo podjetij. Ali ima CISO res pooblastilo, da vodstvenemu kadru prepreči nekaj tveganega? In če CISO poskusi, bo CISO dobi podporo izvršnega direktorja in drugi?

Nedavna Razprava na LinkedInu, ki jo je sprožil Derek Andrews, direktor operacij kibernetske varnosti in odzivanja na incidente za veliko neprofitno organizacijo, za katero je dejal, da je raje ne bi identificiral, je precej dobro strnil strahove.

»Vloga CISO v resnici ni glavna v ničemer drugem, kot da je oseba, ki prevzame krivdo, ko je pravi čas. CISO niso v ožjem krogu CEO. So kot četrti zvonec. To pomeni, da mora prodaja varnosti iti skozi tri druge, preden dobi resnično organizacijsko odobritev, do takrat pa se zmanjša na več usposabljanja za lažno predstavljanje,« je zapisal Andrews.

Andrews je nato postavil kritično vprašanje: zakaj podjetja dovolijo vsaki poslovni enoti, da se sama odloči, ali je nekaj preveč tvegano, namesto CISO?

»Nikoli nisem videl nobenega mesta, ki bi vsaki poslovni enoti omogočalo vodenje lastnega omrežja. Zakaj torej nekomu v marketingu dovolimo, da sprejme kibernetsko tveganje, ki lahko vpliva na vsako poslovno enoto v organizaciji? Sprejetje bi pomenilo lastništvo in vsi vemo, da odgovornost nikoli ne pride do poslovnih enot, ki sprejemajo kibernetska tveganja. CISO je tisti, ki prevzame krivdo,« je zapisal Andrews. »Finančni direktor ima zadnjo avtoriteto, ko gre za finančno tveganje in uspešnost. Nikoli ne boste slišali finančnega direktorja reči 'No, če sprejmete tveganje, potem lahko to storite.' To ni nekaj, kar počnejo. Kot glavni so zadnja avtoriteta in so odgovorni za vse, kar je v njihovi domeni.«

Naučite se vodstvenega jezika

Zakaj podjetja dajejo svojim CISO toliko manj moči kot drugim vodstvenim delavcem na ravni C? To ne spodkopava le strategije kibernetske varnosti podjetja. To ima lahko posreden učinek še večjega zmanjšanja varnosti, saj se CISO bojijo, da jih bodo preglasili, in začnejo dajati zeleno luč prizadevanjem, za katera vedo, da ne bi smela biti odobrena.

Barak Engel, izvršni direktor varnostnega podjetja EAmmune in Avtor Zakaj CISO ne uspejo, trdi, da velik del te težave izvira iz Wall Streeta in drugih tržnih sil. Ko so objavljene večje kršitve varnosti, bodo podjetja včasih opazila padec tečaja svojih delnic, vendar je to skoraj vedno zelo začasno.

»Kršitve nimajo dolgoročnih negativnih učinkov. Tečaji delnic se dokaj hitro okrevajo,« pravi Engel. »Izvršni direktor meni, da varnost po prvih nekaj mesecih ni več pomembna. Toda CISO to prikazujejo kot res strašljivo, izvršni direktorji pa so skeptični.«

Čeprav je bilo že večkrat povedano, Engel trdi, da to spominja na CISO ne komunicirajo učinkovito generalnemu direktorju — in vodjem poslovnih enot — v čisto poslovnem smislu. »Samo enkrat bi rad slišal, da bi CISO uporabil izraz 'denarni tok'. Če so vse, kar slišimo od vas, grozljive zgodbe, potem se niste naučili, kaj pomeni biti C-level. Niste sprejeli jezika poslovanja,« pravi.

Zgradite poslovni nakup

Drugi del problema je sorodnik novosti, vsaj na strateškem krožniku generalnega direktorja, kibernetske varnosti. Skupina izvršnih direktorjev v podjetjih s seznama Fortune 500 ima generacije izkušenj z razumevanjem in prilagajanjem tveganj in negotovosti, ki obstajajo v pravnih, finančnih, kadrovskih, IR, skladnih in drugih poslovnih enotah. Toda tveganje kibernetske varnosti se mnogim izvršnim direktorjem zdi nerodno in težko obvladljivo.

»Večina poslovnih tveganj je statičnih, kibernetska tveganja pa nikakor niso,« pravi Dirk Hodgson, direktor kibernetske varnosti pri NTT Australia. »V kibernetski varnosti tveganja niso splošno dogovorjena ali jasna. Morda ne gre toliko za nespoštovanje CISO kot za slabo komunikacijo v poslovnem kontekstu. Obstaja temeljna razlika v pričakovanjih med kibernetsko varnostjo in drugimi poslovnimi enotami. Dokler tega ne popravimo, bomo obtičali na istem mestu.”

Oliver Tavakoli, tehnični direktor podjetja Vectra AI, trdi, da to težavo povzroča sama narava kibernetske varnosti. Čeprav CISO izdaja redne dopise najvišjim vodstvenim delavcem o različnih vprašanjih, jih pogosto ignorirajo, dokler ne pride do varnostnih izrednih razmer.

»S kibernetsko varnostjo se ukvarjamo le med krizo. Skoraj vedno je ta pogovor med negativno situacijo. Zaradi tega je zelo težko razviti ta odnos,« pravi Tavakoli. "Večina CISO-jev se drži tega, da so heroji za druge CISO-je in ne za ostale C-suite."

Brian Walker, izvršni direktor Cap Group, svetovalnega podjetja za kibernetsko varnost, dodaja: »Gre za avtoriteto in spoštovanje. Če imate pooblastilo in vas vaš šef ne podpira, potem CISO v resnici nima pooblastil.«

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Avtomobili/EV, Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• BlockOffsets. Posodobitev okoljskega offset lastništva. Dostopite tukaj.
• vir: https://www.darkreading.com/edge-articles/cisos-need-backing-to-take-charge-of-security