CISO борються за статус C-Suite, навіть якщо очікування стрімко зростають

Нове опитування 663 керівників служби безпеки показало, що керівників CISO все частіше просять взяти на себе обов’язки, які зазвичай вважаються посадами керівників, але в багатьох організаціях вони не розглядаються як такі.

Опитування було проведено IANS у співпраці з Artico Search, і в ньому опитувалися CISO з різноманітних питань, пов’язаних з їх роботою, обов’язками, підтримкою керівництва та іншими темами.

Цілих 75% з них заявили, що шукають зміну роботи.

Очікування щодо ролі CISO змінилися

Відповіді показали, що очікування щодо ролі CISO різко змінилися в організаціях державного та приватного секторів через, серед іншого, посилення контролю з боку регуляторів і зростання вимог до відповідальності за порушення безпеки.

Як приклад: звіт з опитування вказав на правила, подібні до прийнятих Комісія з цінних паперів і бірж (SEC) у липні минулого року, які вимагають від публічних компаній повідомляти про всі матеріальні інциденти безпеки протягом чотирьох днів після інциденту. Іншим прикладом є випуск Департаменту фінансових послуг штату Нью-Йорк (NYDFS). нові вимоги до кібербезпеки для компаній, що надають фінансові послуги.

«Регуляторні органи тепер притягують CISO до відповідальності за прозорість і навіть шахрайство від імені своїх організацій», — йдеться в звіті IANS і Artico. Зростає очікування, що CISO в першу чергу виконуватиме функцію управління бізнес-ризиками, маючи чіткий голос на зустрічах виконавчого керівництва та прямий зв’язок із генеральним директором та старшим персоналом. Тим не менш, «незважаючи на те, що роль очікується підвищення до C-Level, CISO намагаються вважати такими, а роль CISO часто не є частиною команди вищого керівництва».

Опитування показало, наприклад, що хоча понад 63% CISO займають посаду віце-президента або директора, лише 20% займають посаду керівника, незважаючи на те, що в їхній посаді є слово «керівник». У випадку організацій з доходом понад 1 мільярд доларів ця цифра ще менша – 15%. З точки зору звітності, викликає занепокоєння 90% CISO, які мають принаймні два або більше організаційних рівнів, віддалених від генерального директора та керівника. Лише 50% щоквартально спілкуються з радою директорів своєї компанії. Чверть спілкуються з правлінням лише один чи два рази на рік, 12% зустрічаються з радою лише на випадковій основі, а 13% повідомляють, що взагалі не контактували з правлінням.

Відсутність вказівок щодо відповідальності CISO

У багатьох випадках CISO, які хочуть чітких вказівок щодо ризиків від своєї ради, не отримують їх. Трохи більше однієї третини (36%) описали свою раду як таку, що пропонує їм достатньо чітке уявлення про рівні терпимості до ризику в їхній організації, щоб вони могли діяти відповідно до них.

«Еволюція ролі CISO за останні кілька років різко прискорилася, — говорить Нік Каколовскі, директор з досліджень IANS. Він каже, що з організаціями, які переводять все більше своїх операцій в цифровий формат, CISO беруть на себе більше обов’язків і де-факто стають власниками цифрових ризиків. «[Але] організації не з’ясували, як їх підтримувати та надавати їм повноважень із зростанням масштабів ролі».

Останніми роками в спільноті CISO зростає занепокоєння щодо ескалації очікувань, пов’язаних із цією роллю, хоча їх здатність відповідати цим очікуванням майже не змінилася. Інциденти, подібні до одного з жовтневих минулого року, у якому Комісія з цінних паперів та цінних паперів висунула звинувачення Тіму Брауну, керівнику CISO SolarWinds шахрайство та збої внутрішнього контролю за порушення в компанії у 2020 році, і де суддя засуджено колишнього керівника відділу розвідки Uber Джо Саллівана до трьох років випробувального терміну за порушення у 2016 році, посилили ці занепокоєння. Хоча точаться дебати щодо того, чи були виправданими дії проти керівників служби безпеки в цих інцидентах, багато хто стверджує, що несправедливо притягувати їх самих до відповідальності за порушення.

Історичне упередження проти безпеки як функція C-рівня

За словами Каколовскі, однією з причин, чому багато організацій досі не сприймають роль CISO як належність до керівного складу, є історична упередженість. «КІСО, як правило, сприймаються — часто несправедливо — як технарі, які не вміють говорити мовою бізнесу», — каже він, додаючи, що їх часто відсторонюють, коли йдеться про розвиток навичок. Зусилля там часто зосереджуються на технічних можливостях і лідерстві команди, а не на розвитку виконавчих навичок.

Дещо це також інерція. Великим складним організаціям потрібен час, щоб адаптуватися до нових викликів і організаційних змін.

«Найбільшою проблемою є боротьба за те, щоб знайти узгодження між CISO та рештою керівників», — каже Каколовскі. «Керівники компаній починають усвідомлювати ризик недостатнього використання CISO як керівників бізнесу, і для CISO є можливість продемонструвати свою здатність запропонувати цінність організації за межами бек-офісу».

Яколовскі стверджує, що піднесення ролі CISO до місця, де вона належить, у старших класах, може мати багато переваг. Бути частиною вищого керівництва дає CISO кращу обізнаність і бачення того, куди рухається організація, а також полегшує співпрацю з іншими зацікавленими сторонами в цифровому управлінні ризиками.

«Це позиціонує CISO випереджати ризики, тим самим зменшуючи тертя, які можуть виникнути під час пом’якшення ризиків», – зазначає він.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/cybersecurity-operations/cisos-struggle-csuite-status-expectations-skyrocket