У відповідності з недавній звіт, лише 5 компаній зі списку Fortune 100 враховують свого керівника служби безпеки при переліку топ-менеджменту.
Команда Роль CISO та її зв'язок із впливом і вплив завжди був танцем зі старою корпоративною гвардією. Чи справді CISO має повноваження зупинити керівника сфери діяльності від здійснення чогось ризикованого? І якщо CISO спробує, буде CISO отримує підтримку від генерального директора та інші?
Недавній Обговорення в LinkedIn, ініційоване Дереком Ендрюсом, директор з операцій з кібербезпеки та реагування на інциденти великої некомерційної організації, яку, за його словами, він би не хотів називати, досить добре втілив побоювання.
«Роль CISO насправді не головна, крім того, щоб бути особою, яка візьме на себе падіння, коли настане відповідний час. CISO не входять до найближчого кола генеральних директорів. Вони як четвертий дзвінок. Це означає, що продаж безпеки має пройти через три інші, перш ніж він отримає справжнє організаційне схвалення, і до того часу він зводиться до додаткового навчання фішингу», – написав Ендрюс.
Тоді Ендрюс підняв критичне запитання: чому підприємства дозволяють кожному підрозділу самостійно вирішувати, чи є щось надто ризикованим, а не CISO?
«Я ніколи не бачив жодного місця, яке дозволяло б кожній бізнес-одиниці запускати власну мережу. Тож чому ми дозволяємо комусь із маркетингу приймати кіберризик, який може вплинути на кожен бізнес-підрозділ в організації? Прийняття означатиме володіння, і ми всі знаємо, що підзвітність ніколи не досягає бізнес-підрозділів, які приймають кіберризики. Це CISO, який бере на себе падіння», – написав Ендрюс. «Фінансовий директор має остаточну владу, коли справа доходить до фінансових ризиків і ефективності. Ви ніколи не почуєте, як фінансовий директор каже: «Ну, якщо ви приймаєте ризик, тоді ви можете це зробити». Це не те, що вони роблять. Як вождь, вони є останньою владою і несуть відповідальність за все, що належить до їх сфери».
Вивчіть лінгво лідерства
Чому підприємства надають своїм CISO набагато менше повноважень, ніж іншим керівникам C-рівня? Це не просто підриває стратегію кібербезпеки підприємства. Це може мати опосередкований вплив на ще більше погіршення стану безпеки, оскільки CISO почнуть боятися, що їх буде перевизначено, і почнуть давати дозвіл на дії, які, як вони знають, не повинні бути схвалені.
Барак Енгель, генеральний директор охоронної фірми EAmmune і автор Чому CISO зазнають невдачі, стверджує, що велика частина цієї проблеми походить від Уолл-стріт та інших ринкових сил. Коли оголошується про серйозні порушення безпеки, компанії іноді спостерігають падіння цін на свої акції, але це майже завжди дуже тимчасово.
«Порушення не мають довгострокових негативних наслідків. Ціни на акції відновлюються досить швидко», — говорить Енгель. «Висновок генерального директора полягає в тому, що безпека не має значення після перших кількох місяців. Але CISO малюють це як справді страшне, а керівники налаштовані скептично».
Хоча це було сказано багато разів, Енгель стверджує, що це сходить до CISO неефективно спілкуються генеральному директору — і керівникам бізнес-підрозділів — чисто діловими термінами. «Хоч раз я хочу почути, як CISO використовує термін «грошовий потік». Якщо все, що ми чуємо від вас, це страшні історії, тоді ви не дізналися, що означає бути C-level. Ви не перейняли мову бізнесу», — каже він.
Побудуйте бізнес-бай-ін
Інша частина проблеми – це відносна новизна, принаймні на стратегічній тарілці генерального директора, кібербезпеки. Група генеральних директорів компаній зі списку Fortune 500 має багатопоколійний досвід розуміння ризиків і невизначеності, які існують у юридичних, фінансових, відділах кадрів, зв’язках із зв’язками, відповідності та інших бізнес-підрозділах. Але ризик кібербезпеки здається багатьом керівникам незручним і важким для освоєння.
«Більшість бізнес-ризиків є статичними, але кіберризики абсолютно не статичні», — каже Дірк Ходжсон, директор із кібербезпеки NTT Australia. «У сфері кібербезпеки ризики не є загальновизнаними або однозначними. Це може бути не стільки неповага до CISO, скільки погана комунікація в бізнес-контексті. Існує фундаментальна різниця в очікуваннях між кібербезпекою та іншими підрозділами бізнесу. Поки ми це не виправимо, ми застрягнемо на тому самому місці».
Олівер Таваколі, технічний директор Vectra AI, стверджує, що сама природа кібербезпеки викликає цю проблему. Незважаючи на те, що CISO випускає регулярні пам’ятки для вищого керівництва щодо різних питань, вони часто ігноруються, поки не станеться надзвичайна ситуація з безпекою.
«Про кібербезпеку йдеться лише під час кризи. Майже завжди ця розмова відбувається під час негативної ситуації. Це дуже ускладнює розвиток стосунків», — каже Таваколі. «Більшість CISO прагнуть бути героями для інших CISO, а не для решти керівників».
Браян Уокер, генеральний директор Cap Group, консалтингової фірми з кібербезпеки, додає: «Вся справа в авторитеті та повазі. Якщо у вас є повноваження, а ваш бос вас не підтримує, тоді CISO насправді не має повноважень».
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. Автомобільні / електромобілі, вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- BlockOffsets. Модернізація екологічної компенсаційної власності. Доступ тут.
- джерело: https://www.darkreading.com/edge-articles/cisos-need-backing-to-take-charge-of-security
- : має
- :є
- : ні
- $UP
- 100
- 500
- 7
- a
- МЕНЮ
- абсолютно
- Прийняти
- прийняття
- приймає
- підзвітність
- підзвітний
- прийнята
- після
- вирішено
- AI
- ВСІ
- дозволяти
- дозволено
- Дозволити
- завжди
- Amazon
- та
- andrews
- оголошений
- будь-який
- все
- твердження
- затверджений
- ЕСТЬ
- Аргументує
- AS
- At
- Австралія
- влада
- назад
- підтримка
- BE
- ставати
- було
- перед тим
- буття
- між
- Бос
- порушення
- Брайан
- бізнес
- але
- by
- C-люкс
- CAN
- кришка
- Причини
- Генеральний директор
- керівники
- CFO
- заряд
- головний
- Коло
- CISO
- ясно
- приходить
- зручний
- зв'язку
- Компанії
- дотримання
- консалтинг
- контекст
- Розмова
- Корпоративний
- криза
- критичний
- CTO
- кібер-
- Кібербезпека
- танець
- вирішувати
- Дерек
- розвивати
- різниця
- важкий
- нахил
- Директор
- обговорення
- do
- робить
- байдуже
- справи
- домен
- Дон
- вниз
- під час
- кожен
- фактично
- зусилля
- аварійний
- інкапсульований
- підприємство
- підприємств
- Навіть
- Кожен
- все
- виконавчий
- керівництво
- існувати
- очікування
- досвід
- достатньо
- Падати
- страх
- кілька
- остаточний
- фінансовий
- Фірма
- Перший
- виправляти
- для
- Війська
- стан
- Четвертий
- від
- фундаментальний
- покоління
- отримати
- отримання
- Давати
- Go
- буде
- Group
- Охорона
- було
- відбувається
- Мати
- he
- голова
- голови
- чути
- Герой
- Герої
- hr
- HTTPS
- i
- ідентифікувати
- if
- Impact
- Вплив
- in
- інцидент
- реагування на інциденти
- вплив
- розпочатий
- isn
- питання
- питання
- видачі
- IT
- ЙОГО
- сам
- JPG
- просто
- Знати
- мова
- великий
- Керівництво
- вчений
- найменш
- легальний
- менше
- як
- список
- ll
- довгостроковий
- підтримує
- основний
- РОБОТИ
- управління
- багато
- ринок
- ринкові сили
- Маркетинг
- майстер
- Матерія
- Може..
- значити
- засоби
- просто
- місяців
- більше
- найбільш
- багато
- природа
- Необхідність
- негативний
- мережу
- ніколи
- Некомерційний
- NTT
- of
- часто
- Старий
- on
- один раз
- тільки
- операції
- or
- організаційної
- Інше
- інші
- з
- власний
- власність
- частина
- продуктивність
- людина
- phishing
- місце
- plato
- Інформація про дані Платона
- PlatoData
- бідні
- влада
- price
- ціни
- Проблема
- питання
- швидко
- піднятий
- швидше
- RE
- реальний
- насправді
- останній
- Відновлювати
- регулярний
- відносини
- відносний
- повага
- відповідь
- REST
- право
- кільце
- Risk
- ризики
- Ризикований
- Роль
- прогін
- s
- Зазначений
- то ж
- say
- говорить
- безпеку
- Порушення безпеки
- побачити
- Здається,
- бачив
- продавати
- Повинен
- ситуація
- скептичний
- So
- Хтось
- що в сім'ї щось
- Spot
- старт
- стебла
- акції
- Стоп
- історії
- Стратегічний
- Стратегія
- вулиця
- набір
- Приймати
- приймає
- тимчасовий
- термін
- terms
- ніж
- Що
- Команда
- їх
- потім
- Там.
- вони
- це
- хоча?
- три
- через
- час
- times
- до
- топ
- Навчання
- по-справжньому
- невизначеності
- при
- підривати
- розуміння
- блок
- одиниць
- універсально
- до
- використання
- різний
- Ve
- дуже
- ходунки
- Стіна
- Уолл-стріт
- хотіти
- we
- ДОБРЕ
- Що
- коли
- чому
- волі
- з
- в
- б
- пише
- Ти
- вашу
- зефірнет