Нове опитування 663 керівників служби безпеки показало, що керівників CISO все частіше просять взяти на себе обов’язки, які зазвичай вважаються посадами керівників, але в багатьох організаціях вони не розглядаються як такі.
Опитування було проведено IANS у співпраці з Artico Search, і в ньому опитувалися CISO з різноманітних питань, пов’язаних з їх роботою, обов’язками, підтримкою керівництва та іншими темами.
Цілих 75% з них заявили, що шукають зміну роботи.
Очікування щодо ролі CISO змінилися
Відповіді показали, що очікування щодо ролі CISO різко змінилися в організаціях державного та приватного секторів через, серед іншого, посилення контролю з боку регуляторів і зростання вимог до відповідальності за порушення безпеки.
Як приклад: звіт з опитування вказав на правила, подібні до прийнятих Комісія з цінних паперів і бірж (SEC) у липні минулого року, які вимагають від публічних компаній повідомляти про всі матеріальні інциденти безпеки протягом чотирьох днів після інциденту. Іншим прикладом є випуск Департаменту фінансових послуг штату Нью-Йорк (NYDFS). нові вимоги до кібербезпеки для компаній, що надають фінансові послуги.
«Регуляторні органи тепер притягують CISO до відповідальності за прозорість і навіть шахрайство від імені своїх організацій», — йдеться в звіті IANS і Artico. Зростає очікування, що CISO в першу чергу виконуватиме функцію управління бізнес-ризиками, маючи чіткий голос на зустрічах виконавчого керівництва та прямий зв’язок із генеральним директором та старшим персоналом. Тим не менш, «незважаючи на те, що роль очікується підвищення до C-Level, CISO намагаються вважати такими, а роль CISO часто не є частиною команди вищого керівництва».
Опитування показало, наприклад, що хоча понад 63% CISO займають посаду віце-президента або директора, лише 20% займають посаду керівника, незважаючи на те, що в їхній посаді є слово «керівник». У випадку організацій з доходом понад 1 мільярд доларів ця цифра ще менша – 15%. З точки зору звітності, викликає занепокоєння 90% CISO, які мають принаймні два або більше організаційних рівнів, віддалених від генерального директора та керівника. Лише 50% щоквартально спілкуються з радою директорів своєї компанії. Чверть спілкуються з правлінням лише один чи два рази на рік, 12% зустрічаються з радою лише на випадковій основі, а 13% повідомляють, що взагалі не контактували з правлінням.
Відсутність вказівок щодо відповідальності CISO
У багатьох випадках CISO, які хочуть чітких вказівок щодо ризиків від своєї ради, не отримують їх. Трохи більше однієї третини (36%) описали свою раду як таку, що пропонує їм достатньо чітке уявлення про рівні терпимості до ризику в їхній організації, щоб вони могли діяти відповідно до них.
«Еволюція ролі CISO за останні кілька років різко прискорилася, — говорить Нік Каколовскі, директор з досліджень IANS. Він каже, що з організаціями, які переводять все більше своїх операцій в цифровий формат, CISO беруть на себе більше обов’язків і де-факто стають власниками цифрових ризиків. «[Але] організації не з’ясували, як їх підтримувати та надавати їм повноважень із зростанням масштабів ролі».
Останніми роками в спільноті CISO зростає занепокоєння щодо ескалації очікувань, пов’язаних із цією роллю, хоча їх здатність відповідати цим очікуванням майже не змінилася. Інциденти, подібні до одного з жовтневих минулого року, у якому Комісія з цінних паперів та цінних паперів висунула звинувачення Тіму Брауну, керівнику CISO SolarWinds шахрайство та збої внутрішнього контролю за порушення в компанії у 2020 році, і де суддя засуджено колишнього керівника відділу розвідки Uber Джо Саллівана до трьох років випробувального терміну за порушення у 2016 році, посилили ці занепокоєння. Хоча точаться дебати щодо того, чи були виправданими дії проти керівників служби безпеки в цих інцидентах, багато хто стверджує, що несправедливо притягувати їх самих до відповідальності за порушення.
Історичне упередження проти безпеки як функція C-рівня
За словами Каколовскі, однією з причин, чому багато організацій досі не сприймають роль CISO як належність до керівного складу, є історична упередженість. «КІСО, як правило, сприймаються — часто несправедливо — як технарі, які не вміють говорити мовою бізнесу», — каже він, додаючи, що їх часто відсторонюють, коли йдеться про розвиток навичок. Зусилля там часто зосереджуються на технічних можливостях і лідерстві команди, а не на розвитку виконавчих навичок.
Дещо це також інерція. Великим складним організаціям потрібен час, щоб адаптуватися до нових викликів і організаційних змін.
«Найбільшою проблемою є боротьба за те, щоб знайти узгодження між CISO та рештою керівників», — каже Каколовскі. «Керівники компаній починають усвідомлювати ризик недостатнього використання CISO як керівників бізнесу, і для CISO є можливість продемонструвати свою здатність запропонувати цінність організації за межами бек-офісу».
Яколовскі стверджує, що піднесення ролі CISO до місця, де вона належить, у старших класах, може мати багато переваг. Бути частиною вищого керівництва дає CISO кращу обізнаність і бачення того, куди рухається організація, а також полегшує співпрацю з іншими зацікавленими сторонами в цифровому управлінні ризиками.
«Це позиціонує CISO випереджати ризики, тим самим зменшуючи тертя, які можуть виникнути під час пом’якшення ризиків», – зазначає він.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/cybersecurity-operations/cisos-struggle-csuite-status-expectations-skyrocket
- : має
- :є
- : ні
- :де
- 1 млрд доларів
- 15%
- 2016
- 2020
- 7
- a
- здатність
- МЕНЮ
- прискорений
- підзвітність
- підзвітний
- Діяти
- дії
- Ad
- додати
- прийнята
- проти
- попереду
- вирівнювання
- ВСІ
- тільки
- Також
- серед
- an
- та
- Інший
- ЕСТЬ
- сперечався
- Аргументує
- навколо
- AS
- припустити
- At
- знати
- обізнаність
- назад
- основа
- BE
- оскільки
- ставати
- було
- початок
- імені
- буття
- належність
- належить
- Переваги
- Краще
- між
- За
- зміщення
- найбільший
- Мільярд
- рада
- порушення
- порушення
- коричневий
- бізнес
- Бізнес-лідери
- але
- by
- C-люкс
- CAN
- можливості
- випадок
- Генеральний директор
- виклик
- проблеми
- зміна
- змінилися
- стягується
- головний
- CISO
- ясно
- співпрацювати
- співробітництво
- Приходити
- приходить
- Комунікація
- співтовариство
- Компанії
- компанія
- комплекс
- Турбота
- проводиться
- вважається
- контакт
- контроль
- Кібербезпека
- Днів
- de
- дебати
- запити
- демонструвати
- відділ
- описаний
- Незважаючи на
- розробка
- цифровий
- оцифрування
- прямий
- Директор
- Дон
- різко
- легше
- зусилля
- піднесений
- уповноважувати
- займатися
- досить
- Навіть
- еволюція
- приклад
- обмін
- виконавчий
- керівництво
- очікування
- очікування
- кілька
- розібрався
- фінансовий
- фінансові послуги
- знайти
- Сфокусувати
- для
- Колишній
- чотири
- шахрайство
- часто
- тертя
- від
- підживлюється
- Повний
- функція
- отримати
- дає
- буде
- Зростання
- Зростає
- керівництво
- Відбувається
- Мати
- притулок
- має
- he
- історичний
- тримати
- Як
- How To
- HTTPS
- in
- інцидент
- збільшений
- все більше і більше
- інерція
- розуміння
- внутрішній
- в
- питання
- видачі
- IT
- робота
- Джобс
- JOE
- JPG
- суддя
- липень
- просто
- виправданий
- відсутність
- мова
- великий
- в значній мірі
- останній
- Лідери
- Керівництво
- найменш
- рівень
- рівні
- як
- Лінія
- шукати
- РОБОТИ
- управління
- багато
- матеріал
- Може..
- Зустрічатися
- зустрічі
- пом’якшення
- зменшення ризиків
- більше
- Нові
- Нью-Йорк
- Штат Нью-Йорк
- Державний департамент фінансових послуг штату Нью-Йорк
- зарубка
- немає
- нормально
- примітки
- зараз
- номер
- NY
- NYDFS
- жовтень
- of
- пропонувати
- пропонує
- Office
- часто
- on
- один раз
- ONE
- Одна третя
- тільки
- операції
- Можливість
- or
- організація
- організаційної
- організації
- Інше
- з
- над
- Власники
- частина
- Минуле
- для
- сприймається
- plato
- Інформація про дані Платона
- PlatoData
- положення
- позиції
- президент
- в першу чергу
- приватний
- приватний сектор
- громадськість
- публічно
- суто
- Квартал
- щоквартальний
- швидше
- Причини
- останній
- зниження
- вважається
- Регулятори
- пов'язаний
- залишився
- Вилучено
- звітом
- Звітність
- вимагати
- дослідження
- відповіді
- обов'язки
- REST
- надходження
- Risk
- ризики
- Роль
- Правила
- s
- Зазначений
- говорить
- сфера
- огляд
- Пошук
- SEC
- сектор
- безпеку
- Порушення безпеки
- старший
- вищого керівництва
- служити
- Послуги
- Зміни
- показав
- показаний
- силен
- навички
- стрімко зростає
- менше
- SolarWinds
- деякі
- говорити
- зацікавлених сторін
- точки зору
- стан
- Державний департамент
- Статус
- Як і раніше
- боротьба
- такі
- підтримка
- Огляд
- Приймати
- взяття
- команда
- технічний
- як правило,
- ніж
- Що
- Команда
- їх
- Їх
- Там.
- тим самим
- Ці
- вони
- речі
- ті
- три
- Тім
- час
- назва
- до
- терпимість
- топ
- теми
- торгував
- прозорість
- лікування
- тривожний
- Двічі
- два
- Убер
- несправедливо
- на
- значення
- різноманітність
- віце
- Віцепрезидент
- видимість
- Голос
- хотіти
- було
- були
- Що
- коли
- Чи
- в той час як
- ВООЗ
- чому
- волі
- з
- в
- без
- б
- рік
- років
- ще
- йорк
- зефірнет