CISO se borijo za status C-Suite, čeprav pričakovanja skokovito naraščajo

Od CISO se vedno pogosteje zahteva, da prevzamejo odgovornosti za tisto, kar bi se običajno štelo za vlogo C-suite, vendar jih v številnih organizacijah ne obravnavajo ali obravnavajo kot take, je pokazala nova raziskava med 663 vodstvenimi delavci na področju varnosti.

Raziskavo je izvedel IANS v sodelovanju z Artico Search in anketiral CISO o različnih vprašanjih, povezanih z njihovimi službami, njihovimi odgovornostmi, podporo vodstvu in drugimi temami.

Kar 75 % jih je izjavilo, da iščejo zamenjavo službe.

Pričakovanja glede vloge CISO so se spremenila

Odzivi so pokazali, da so se pričakovanja glede vloge CISO močno spremenila v organizacijah javnega in zasebnega sektorja, med drugim zaradi povečanega nadzora regulatorjev in vse večjih zahtev po odgovornosti za kršitve varnosti.

Kot primer: poročilo o anketi opozoril na pravila, kot jih je sprejel Securities and Exchange Commission (SEC) julija lani, ki od javnih delniških družb zahteva poročanje o vseh materialnih varnostnih incidentih v štirih dneh po incidentu. Drug primer je izdaja Ministrstva za finančne storitve zvezne države New York (NYDFS). nove zahteve glede kibernetske varnosti za podjetja za finančne storitve.

"Regulatorji zdaj kličejo CISO odgovorne za preglednost in celo goljufije v imenu svojih organizacij," sta zapisala IANS in Artico poročilo. Vse več je pričakovanj, da bo CISO služil predvsem kot funkcija upravljanja s poslovnimi tveganji, z jasnim glasom na sestankih izvršnega vodstva in neposredno komunikacijsko linijo z izvršnim direktorjem in C-suite. Vendar pa »kljub temu, da so pričakovanja glede vloge povišana na raven C, se CISO trudijo, da bi jih obravnavali kot take, in vloga CISO pogosto ni del višje vodstvene ekipe.«

Raziskava je na primer pokazala, da medtem ko ima več kot 63 % CISO položaj podpredsednika ali direktorja, jih je le 20 % na ravni C-suite, čeprav imajo v svojem nazivu "šef". V primeru organizacij s prihodki nad 1 milijardo dolarjev je ta številka še manjša, in sicer 15 %. S stališča poročanja je zaskrbljujočih 90 % CISO vsaj dveh ali več organizacijskih ravni, odstranjenih od izvršnega direktorja in vodstvenega oddelka. Samo 50 % jih četrtletno sodeluje z upravnim odborom svojega podjetja. Četrtina jih sodeluje z upravnim odborom le enkrat ali dvakrat na leto, 12 % se z upravnim odborom sestane le priložnostno, 13 % pa jih poroča, da z upravnim odborom sploh nimajo stika.

Pomanjkanje navodil za odgovornost CISO

V mnogih primerih CISO, ki želijo jasna navodila glede tveganja od svojega odbora, tega ne dobijo. Komaj več kot ena tretjina (36 %) jih je svoj upravni odbor opisala, kot da jim ponuja dovolj jasen vpogled v ravni tolerance tveganja v njihovi organizaciji, na podlagi katerih lahko ukrepajo.

»Razvoj vloge CISO v zadnjih nekaj letih se je dramatično pospešil,« pravi Nick Kakolowski, raziskovalni direktor pri IANS. Ker organizacije digitalizirajo več svojih operacij, CISO prevzemajo več odgovornosti in so de facto postali lastniki digitalnega tveganja, pravi. "[Vendar] organizacije niso ugotovile, kako jih podpreti in opolnomočiti, ko se obseg vloge povečuje."

V skupnosti CISO v zadnjih letih narašča zaskrbljenost zaradi naraščajočih pričakovanj v zvezi z vlogo, čeprav je njihova sposobnost izpolnitve teh pričakovanj ostala večinoma nespremenjena. Incidentov, kot je bil prejšnji oktober, ko je SEC obtožil vodjo informacijske službe SolarWinds Tima Browna goljufije in napake pri notranji kontroli nad kršitvijo 2020 v podjetju in kjer sodnik obsojen nekdanji Uber CISO Joe Sullivan na tri leta pogojne kazni zaradi kršitve leta 2016, so podžgale te pomisleke. Medtem ko potekajo razprave o tem, ali so bili ukrepi proti vodjem varnosti v teh incidentih upravičeni, so mnogi trdili, da je nepošteno, da bi za kršitve odgovarjali samo njih.

Zgodovinska pristranskost proti varnosti kot funkcija na ravni C

Kakolowski pravi, da je eden od razlogov, zakaj mnoge organizacije še vedno ne dojemajo vloge CISO, ki pripada vodstvu, zgodovinska pristranskost. »CISO-je ponavadi dojemajo – pogosto nepravično – kot tehničarje, ki ne znajo govoriti poslovnega jezika,« pravi in ​​dodaja, da so pogosto nagnjeni k temu, da jih zapustijo, ko gre za razvoj veščin. Tam se prizadevanja pogosto osredotočajo na tehnične zmogljivosti in vodenje ekipe, namesto na razvoj vodstvenih sposobnosti.

Nekaj ​​je tudi vztrajnost. Velike, kompleksne organizacije potrebujejo čas, da se prilagodijo novim izzivom in organizacijskim premikom.

»Največji izziv je boj za iskanje usklajenosti med CISO in preostalim C-suiteom,« pravi Kakolowski. »Vodje v podjetjih se začenjajo zavedati tveganja premajhnega izkoriščanja CISO kot vodstvenih delavcev in obstaja priložnost, da CISO dokažejo svojo sposobnost ponuditi vrednost organizaciji onkraj zaledne pisarne.«

Dvig vloge CISO tja, kamor sodi, v C-suite, ima lahko veliko koristi, trdi Kakolowski. Biti del najvišjega vodstva daje CISO boljšo ozaveščenost in pregled nad tem, kam gre organizacija, ter jim olajša sodelovanje z drugimi deležniki pri digitalnem obvladovanju tveganj.

"To postavlja CISO, da prehiteva tveganja, s čimer se zmanjšajo trenja, ki lahko nastanejo pri zmanjševanju tveganj," ugotavlja.

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.darkreading.com/cybersecurity-operations/cisos-struggle-csuite-status-expectations-skyrocket