CISO потребують підтримки, щоб взяти на себе відповідальність за безпеку

У відповідності з недавній звіт, лише 5 компаній зі списку Fortune 100 враховують свого керівника служби безпеки при переліку топ-менеджменту.

Команда Роль CISO та її зв'язок із впливом і вплив завжди був танцем зі старою корпоративною гвардією. Чи справді CISO має повноваження зупинити керівника сфери діяльності від здійснення чогось ризикованого? І якщо CISO спробує, буде CISO отримує підтримку від генерального директора та інші?

Недавній Обговорення в LinkedIn, ініційоване Дереком Ендрюсом, директор з операцій з кібербезпеки та реагування на інциденти великої некомерційної організації, яку, за його словами, він би не хотів називати, досить добре втілив побоювання.

«Роль CISO насправді не головна, крім того, щоб бути особою, яка візьме на себе падіння, коли настане відповідний час. CISO не входять до найближчого кола генеральних директорів. Вони як четвертий дзвінок. Це означає, що продаж безпеки має пройти через три інші, перш ніж він отримає справжнє організаційне схвалення, і до того часу він зводиться до додаткового навчання фішингу», – написав Ендрюс.

Тоді Ендрюс підняв критичне запитання: чому підприємства дозволяють кожному підрозділу самостійно вирішувати, чи є щось надто ризикованим, а не CISO?

«Я ніколи не бачив жодного місця, яке дозволяло б кожній бізнес-одиниці запускати власну мережу. Тож чому ми дозволяємо комусь із маркетингу приймати кіберризик, який може вплинути на кожен бізнес-підрозділ в організації? Прийняття означатиме володіння, і ми всі знаємо, що підзвітність ніколи не досягає бізнес-підрозділів, які приймають кіберризики. Це CISO, який бере на себе падіння», – написав Ендрюс. «Фінансовий директор має остаточну владу, коли справа доходить до фінансових ризиків і ефективності. Ви ніколи не почуєте, як фінансовий директор каже: «Ну, якщо ви приймаєте ризик, тоді ви можете це зробити». Це не те, що вони роблять. Як вождь, вони є останньою владою і несуть відповідальність за все, що належить до їх сфери».

Вивчіть лінгво лідерства

Чому підприємства надають своїм CISO набагато менше повноважень, ніж іншим керівникам C-рівня? Це не просто підриває стратегію кібербезпеки підприємства. Це може мати опосередкований вплив на ще більше погіршення стану безпеки, оскільки CISO почнуть боятися, що їх буде перевизначено, і почнуть давати дозвіл на дії, які, як вони знають, не повинні бути схвалені.

Барак Енгель, генеральний директор охоронної фірми EAmmune і автор Чому CISO зазнають невдачі, стверджує, що велика частина цієї проблеми походить від Уолл-стріт та інших ринкових сил. Коли оголошується про серйозні порушення безпеки, компанії іноді спостерігають падіння цін на свої акції, але це майже завжди дуже тимчасово.

«Порушення не мають довгострокових негативних наслідків. Ціни на акції відновлюються досить швидко», — говорить Енгель. «Висновок генерального директора полягає в тому, що безпека не має значення після перших кількох місяців. Але CISO малюють це як справді страшне, а керівники налаштовані скептично».

Хоча це було сказано багато разів, Енгель стверджує, що це сходить до CISO неефективно спілкуються генеральному директору — і керівникам бізнес-підрозділів — чисто діловими термінами. «Хоч раз я хочу почути, як CISO використовує термін «грошовий потік». Якщо все, що ми чуємо від вас, це страшні історії, тоді ви не дізналися, що означає бути C-level. Ви не перейняли мову бізнесу», — каже він.

Побудуйте бізнес-бай-ін

Інша частина проблеми – це відносна новизна, принаймні на стратегічній тарілці генерального директора, кібербезпеки. Група генеральних директорів компаній зі списку Fortune 500 має багатопоколійний досвід розуміння ризиків і невизначеності, які існують у юридичних, фінансових, відділах кадрів, зв’язках із зв’язками, відповідності та інших бізнес-підрозділах. Але ризик кібербезпеки здається багатьом керівникам незручним і важким для освоєння.

«Більшість бізнес-ризиків є статичними, але кіберризики абсолютно не статичні», — каже Дірк Ходжсон, директор із кібербезпеки NTT Australia. «У сфері кібербезпеки ризики не є загальновизнаними або однозначними. Це може бути не стільки неповага до CISO, скільки погана комунікація в бізнес-контексті. Існує фундаментальна різниця в очікуваннях між кібербезпекою та іншими підрозділами бізнесу. Поки ми це не виправимо, ми застрягнемо на тому самому місці».

Олівер Таваколі, технічний директор Vectra AI, стверджує, що сама природа кібербезпеки викликає цю проблему. Незважаючи на те, що CISO випускає регулярні пам’ятки для вищого керівництва щодо різних питань, вони часто ігноруються, поки не станеться надзвичайна ситуація з безпекою.

«Про кібербезпеку йдеться лише під час кризи. Майже завжди ця розмова відбувається під час негативної ситуації. Це дуже ускладнює розвиток стосунків», — каже Таваколі. «Більшість CISO прагнуть бути героями для інших CISO, а не для решти керівників».

Браян Уокер, генеральний директор Cap Group, консалтингової фірми з кібербезпеки, додає: «Вся справа в авторитеті та повазі. Якщо у вас є повноваження, а ваш бос вас не підтримує, тоді CISO насправді не має повноважень».

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. Автомобільні / електромобілі, вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• BlockOffsets. Модернізація екологічної компенсаційної власності. Доступ тут.
• джерело: https://www.darkreading.com/edge-articles/cisos-need-backing-to-take-charge-of-security