CISO'ların Güvenliğin Sorumluluğunu Üstlenmek İçin Desteğe İhtiyacı Var

Bir göre son raporFortune 5 şirketlerinden yalnızca 100'i üst düzey yöneticileri sıralarken güvenlik sorumlularını sayıyor.

The CISO rolü ve nüfuzla ilişkisi ve nüfuz her zaman kurumsal eski muhafızlarla yapılan bir dans olmuştur. CISO'nun gerçekten bir iş kolu yöneticisinin riskli bir şey yapmasını engelleme yetkisi var mı? Ve eğer CISO denerse, CISO, CEO'dan destek alıyor ve diğerleri?

son zamanlarda Derek Andrews tarafından başlatılan LinkedIn tartışmasıBüyük kar amacı gütmeyen bir kuruluşun siber güvenlik operasyonları ve olaylara müdahale direktörü olan ve kimliğini açıklamamayı tercih ettiğini söylediği korkuları oldukça iyi özetledi.

“CISO rolü, zamanı geldiğinde suçu üstlenecek kişi olmaktan başka hiçbir şeyin şefi değildir. CISO'lar CEO'nun yakın çevresinde değildir. Dördüncü zil sesi gibiler. Bu, güvenlik satışının gerçek kurumsal onay almadan önce üç aşamadan daha geçmesi gerektiği ve o zamana kadar daha fazla kimlik avı eğitimi verilmesiyle sulandırıldığı anlamına geliyor," diye yazdı Andrews.

Andrews daha sonra kritik bir soruyu gündeme getirdi: İşletmeler, bir şeyin aşırı riskli olup olmadığına CISO yerine neden her iş biriminin kendi başına karar vermesine izin veriyor?

“Her iş biriminin kendi ağını yönetmesine izin veren bir yer görmedim. Peki neden pazarlamadaki birinin kuruluştaki her iş birimini etkileyebilecek bir siber riski kabul etmesine izin veriyoruz? Kabul, sahiplenme anlamına gelir ve hepimiz biliyoruz ki hesap verme sorumluluğu asla siber riski kabul eden iş birimlerine gelmez. Andrews, suçu üstlenecek olanın CISO olduğunu yazdı. “Finansal risk ve performans söz konusu olduğunda son yetki CFO'ya aittir. Bir CFO'nun 'Eğer riski kabul edersen bunu yapabilirsin' dediğini asla duymazsınız. Bu onların yapacağı bir şey değil. Şef olarak onlar nihai otoritedir ve kendi yetki alanları altındaki her şeyden sorumlu tutulurlar.”

Liderlik Dilini Öğrenin

İşletmeler neden CISO'larına diğer C düzeyindeki yöneticilerden çok daha az yetki veriyor? Bu yalnızca kurumsal siber güvenlik stratejisini baltalamakla kalmıyor. CISO'lar geçersiz kılınacakları konusunda çekingen hale geldikçe ve onaylanmaması gerektiğini bildikleri çabalara yeşil ışık yakmaya başladıkça, bunun güvenlik duruşunu daha da azaltma gibi dolaylı bir etkisi olabilir.

Güvenlik firması EAmmune'un CEO'su Barak Engel ve yazarı CISO'lar Neden Başarısız Olur?, bu sorunun çoğunun Wall Street ve diğer piyasa güçlerinden kaynaklandığını savunuyor. Büyük güvenlik ihlalleri duyurulduğunda, şirketler bazen hisse senedi fiyatlarında bir düşüş görürler, ancak bu neredeyse her zaman çok geçicidir.

“İhlallerin uzun vadeli olumsuz etkileri olmaz. Hisse senedi fiyatları oldukça hızlı bir şekilde toparlanıyor,” diyor Engel. “CEO'nun çıkaracağı ders, güvenliğin ilk birkaç aydan sonra önemli olmadığıdır. Ancak CISO'lar bunu gerçekten korkutucu olarak resmediyor ve CEO'lar şüpheci."

Defalarca söylenmesine rağmen, Engel bunun CISO'lar etkili bir şekilde iletişim kurmuyor CEO'ya ve iş birimi başkanlarına saf ticari terimlerle. “Bir kez olsun bir CISO'nun 'nakit akışı' terimini kullandığını duymak istiyorum. Sizden duyduğumuz tek şey korkutucu hikayelerse, C seviyesi olmanın ne demek olduğunu öğrenmemişsiniz demektir. Siz işin dilini benimsemediniz” diyor.

İşletme Satın Alma Oluşturun

Sorunun diğer bir kısmı görecelidir. yenilik, en azından CEO'nun stratejik plakasında, siber güvenlik. Fortune 500 şirketlerindeki CEO takımı, nesiller boyu hukuk, finans, İK, Yİ, uyumluluk ve diğer iş birimlerinde mevcut olan riskleri ve belirsizlikleri anlama ve bunlara alışma deneyimine sahiptir. Ancak siber güvenlik riski pek çok CEO için garip ve ustalaşması zor görünüyor.

NTT Avustralya siber güvenlik direktörü Dirk Hodgson, "İş risklerinin çoğu statiktir, ancak siber risk kesinlikle değildir" diyor. “Siber güvenlikte riskler evrensel olarak kabul edilmiş veya net değil. Bu, iş bağlamında zayıf iletişim kadar CISO'ya saygısızlık da olmayabilir. Siber güvenlik ile diğer iş birimleri arasında beklentilerde temel bir fark var. Bunu düzeltinceye kadar aynı noktada sıkışıp kalacağız.”

Vectra AI'nin CTO'su Oliver Tavakoli, siber güvenliğin doğasının bu soruna neden olduğunu savunuyor. CISO, üst düzey yöneticilere çeşitli konular hakkında düzenli olarak notlar yayınlasa da, bunlar genellikle bir güvenlik acil durumu ortaya çıkana kadar göz ardı edilir.

“Siber güvenlik yalnızca bir kriz sırasında ele alınır. Neredeyse her zaman, bu konuşma olumsuz bir durum sırasında gerçekleşir. Bu, bu ilişkiyi geliştirmeyi çok zorlaştırıyor, ”diyor Tavakoli. "Çoğu CISO, C-suite'in geri kalanı için değil, diğer CISO'lar için kahraman olmaya saplanıp kalmıştır."

Siber güvenlik danışmanlık firması Cap Group'un CEO'su Brian Walker şunu ekliyor: “Her şey otorite ve saygıyla alakalı. Yetkiniz varsa ve patronunuz sizi desteklemiyorsa, CISO'nun gerçekte yetkisi yoktur."

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
• PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
• PlatoESG. Otomotiv / EV'ler, karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
• Blok Ofsetleri. Çevre Dengeleme Sahipliğini Modernleştirme. Buradan Erişin.
• Kaynak: https://www.darkreading.com/edge-articles/cisos-need-backing-to-take-charge-of-security