CISO:er behöver stöd för att ta ansvar för säkerheten

Enligt en senaste rapporten, bara 5 av Fortune 100-företagen räknar sin säkerhetschef när de listar högsta ledningen.

Smakämnen CISO roll och dess relation till inflytande och inflytande har alltid varit en dans med företagets gamla garde. Har CISO verkligen befogenhet att stoppa en företagsledare från att göra något riskabelt? Och om CISO försöker, kommer det CISO får stöd från VD:n och andra?

En nyligen LinkedIn-diskussion initierad av Derek Andrews, chefen för cybersäkerhetsoperationer och incidentrespons för en stor ideell organisation som han sa att han helst inte skulle identifiera, inkapslade farhågorna ganska bra.

”CISO-rollen är egentligen inte chefen för något annat än att vara personen som ska ta fallet när tiden är mogen. CISO:er är inte i VD:s inre cirkel. De är som den fjärde ringen ut. Det betyder att säkerhetsförsäljningen måste gå igenom tre andra innan den får verkligt organisatoriskt godkännande och vid den tidpunkten är det urvattnat till att göra mer nätfiskeutbildning”, skrev Andrews.

Andrews tog sedan upp en kritisk fråga: Varför låter företag varje affärsenhet bestämma på egen hand om något är alltför riskabelt, snarare än CISO?

”Jag har aldrig sett någon plats som tillät varje affärsenhet att driva sitt eget nätverk. Så varför låter vi någon inom marknadsföring acceptera en cyberrisk som kan påverka varje affärsenhet i organisationen? Acceptans skulle innebära ägande och vi vet alla att ansvarsskyldighet aldrig kommer till cyberrisk som accepterar affärsenheter. Det är CISO som tar fallet”, skrev Andrews. ”CFO har slutgiltig auktoritet när det kommer till finansiell risk och prestation. Du kommer aldrig att höra en finanschef säga "Tja, om du accepterar risken, då kan du göra det." Det här är inget de gör. Som chef är de den slutliga auktoriteten och hålls ansvariga för allt inom deras domän.”

Lär dig ledarskapslingo

Varför ger företag sina CISO:er så mycket mindre makt än andra chefer på C-nivå? Detta undergräver inte bara företagets cybersäkerhetsstrategi. Det kan ha den indirekta effekten att den minskar säkerhetsställningen ännu mer, eftersom CISO:er blir pistolskygga för att de kommer att åsidosättas och påbörja greenlight-insatser som de vet inte borde godkännas.

Barak Engel, vd för säkerhetsföretaget EAmmune och författare Varför CISO misslyckas, hävdar att mycket av detta problem härrör från Wall Street och andra marknadskrafter. När större säkerhetsintrång tillkännages kommer företag ibland att se en dipp i aktiekursen, men det är nästan alltid väldigt tillfälligt.

"Brott har inga långsiktiga negativa effekter. Aktiekurserna återhämtar sig ganska snabbt, säger Engel. “Vd:s takeaway är att säkerheten inte spelar någon roll efter de första månaderna. Men CISOs målar upp det som riktigt skrämmande, och VD:ar är skeptiska."

Även om det har sagts många gånger, vidhåller Engel att detta går tillbaka till CISO:er kommunicerar inte effektivt till VD — och affärsenhetschefer — rent affärsmässigt. "Bara en gång vill jag höra en CISO använda termen 'cashflow'. Om allt vi hör från dig är skrämmande historier, så har du inte lärt dig vad det innebär att vara en C-nivå. Man har inte anammat verksamhetens språk”, säger han.

Bygg företagsinköp

En annan del av problemet är den anhöriga nyhet, åtminstone på VD:s strategiska platta, av cybersäkerhet. VD-sviten på Fortune 500-företag har haft generationer av erfarenhet av att förstå och bli bekväm med risker och osäkerheter som finns inom juridiska, finansiella, HR, IR, compliance och andra affärsenheter. Men cybersäkerhetsrisk verkar besvärlig och svår att bemästra för många vd:ar.

"De flesta affärsrisker är statiska, men cyberrisk är det absolut inte", säger Dirk Hodgson, chef för cybersäkerhet för NTT Australia. "Inom cybersäkerhet är riskerna inte allmänt överenskomna eller tydliga. Det kanske inte är respektlöshet mot CISO så mycket som dålig kommunikation i affärssammanhang. Det finns en grundläggande skillnad i förväntningar mellan cybersäkerhet och andra affärsenheter. Tills vi fixar det kommer vi att sitta fast på samma plats.”

Oliver Tavakoli, CTO för Vectra AI, hävdar att cybersäkerhetens natur orsakar detta problem. Även om CISO regelbundet utfärdar memo till toppchefer om olika frågor, ignoreras de ofta tills en säkerhetsnödsituation inträffar.

"Cybersäkerhet hanteras bara under en kris. Nästan alltid är det samtalet under en negativ situation. Det gör det väldigt svårt att utveckla den relationen, säger Tavakoli. "De flesta CISO:er har fastnat för att vara hjältar för andra CISO:er och inte för resten av C-sviten."

Tillägger Brian Walker, VD för Cap Group, ett konsultföretag för cybersäkerhet: "Det handlar om auktoritet och respekt. Om du har auktoriteten och din chef inte backar upp dig, då har CISO inte riktigt auktoriteten.”

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Fordon / elbilar, Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• BlockOffsets. Modernisera miljökompensation ägande. Tillgång här.
• Källa: https://www.darkreading.com/edge-articles/cisos-need-backing-to-take-charge-of-security