CISO cần hỗ trợ để chịu trách nhiệm về bảo mật

Theo một báo cáo gần đây, chỉ có 5 trong số Fortune 100 công ty tính người đứng đầu bộ phận an ninh khi liệt kê ban lãnh đạo cấp cao.

Sản phẩm Vai trò của CISO và mối quan hệ của nó với đầu mối và tầm ảnh hưởng luôn là một cuộc khiêu vũ với những người bảo vệ cũ của công ty. CISO có thực sự có thẩm quyền ngăn chặn một nhà điều hành ngành kinh doanh làm điều gì đó rủi ro không? Và nếu CISO cố gắng, liệu CISO nhận được sự hỗ trợ từ CEO và những người khác?

Mới đây Thảo luận LinkedIn do Derek Andrews khởi xướng, giám đốc hoạt động an ninh mạng và ứng phó sự cố của một tổ chức phi lợi nhuận lớn mà ông nói rằng ông không muốn nêu tên, đã gói gọn khá tốt những nỗi sợ hãi.

“Vai trò của CISO thực sự không phải là người đứng đầu bất cứ điều gì khác ngoài việc là người phải chịu thất bại khi đến thời điểm thích hợp. CISO không nằm trong vòng trong của CEO. Chúng giống như tiếng chuông thứ tư vang lên. Điều đó có nghĩa là việc bán chứng khoán phải thông qua ba người khác trước khi nhận được sự chấp thuận thực sự của tổ chức và vào thời điểm đó, nó sẽ phải thực hiện nhiều khóa đào tạo về lừa đảo hơn,” Andrews viết.

Sau đó, Andrews đã đặt ra một câu hỏi quan trọng: Tại sao các doanh nghiệp lại cho phép mọi đơn vị kinh doanh tự quyết định nếu điều gì đó quá rủi ro, thay vì CISO?

“Tôi chưa thấy nơi nào cho phép mỗi đơn vị kinh doanh được vận hành mạng riêng. Vậy tại sao chúng ta lại cho phép ai đó trong bộ phận tiếp thị chấp nhận rủi ro mạng có thể ảnh hưởng đến mọi đơn vị kinh doanh trong tổ chức? Chấp nhận có nghĩa là quyền sở hữu và tất cả chúng ta đều biết rằng trách nhiệm giải trình không bao giờ liên quan đến các đơn vị kinh doanh chấp nhận rủi ro mạng. Chính CISO phải chịu thất bại,” Andrews viết. “CFO có thẩm quyền cuối cùng khi nói đến rủi ro tài chính và hiệu quả hoạt động. Bạn sẽ không bao giờ nghe một CFO nói 'Chà, nếu bạn chấp nhận rủi ro thì bạn có thể làm được.' Đây không phải là điều họ làm. Với tư cách là người đứng đầu, họ là người có thẩm quyền cuối cùng và chịu trách nhiệm về mọi việc thuộc phạm vi của mình.”

Học ngôn ngữ lãnh đạo

Tại sao các doanh nghiệp trao cho CISO của họ ít quyền lực hơn nhiều so với các giám đốc điều hành cấp C khác? Điều này không chỉ làm suy yếu chiến lược an ninh mạng của doanh nghiệp. Nó có thể có tác động gián tiếp làm giảm tình trạng bảo mật hơn nữa, khi các CISO trở nên ngại ngùng rằng họ sẽ bị ghi đè và bắt đầu bật đèn xanh cho những nỗ lực mà họ biết là không nên được chấp thuận.

Barak Engel, CEO của công ty bảo mật EAmmune và tác giả của Tại sao CISO thất bại, lập luận rằng phần lớn vấn đề này bắt nguồn từ Phố Wall và các lực lượng thị trường khác. Khi các vi phạm an ninh lớn được công bố, các công ty đôi khi sẽ thấy giá cổ phiếu của họ giảm xuống, nhưng nó hầu như luôn rất tạm thời.

“Vi phạm không có tác động tiêu cực lâu dài. Giá cổ phiếu phục hồi khá nhanh,” Engel nói. “Điều CEO rút ra được là vấn đề bảo mật không còn quan trọng sau vài tháng đầu tiên. Nhưng các CISO cho rằng nó thực sự đáng sợ và các CEO tỏ ra hoài nghi.”

Mặc dù đã được nói nhiều lần, Engel cho rằng điều này bắt nguồn từ CISO không giao tiếp hiệu quả cho Giám đốc điều hành - và người đứng đầu đơn vị kinh doanh - về mặt kinh doanh thuần túy. “Chỉ một lần tôi muốn nghe CISO sử dụng thuật ngữ 'dòng tiền'. Nếu tất cả những gì chúng tôi nghe được từ bạn là những câu chuyện đáng sợ thì bạn vẫn chưa hiểu được ý nghĩa của việc đạt được trình độ C. Bạn đã không áp dụng ngôn ngữ kinh doanh,” ông nói.

Xây dựng doanh nghiệp mua vào

Một phần khác của vấn đề là họ hàng sự mới mẻ, ít nhất là trên bảng chiến lược của CEO, về an ninh mạng. Nhóm CEO tại các công ty Fortune 500 đã có nhiều thế hệ kinh nghiệm hiểu biết và cảm thấy thoải mái với những rủi ro và sự không chắc chắn tồn tại trong các đơn vị pháp lý, tài chính, nhân sự, IR, tuân thủ và các đơn vị kinh doanh khác. Nhưng rủi ro an ninh mạng có vẻ khó xử lý và khó nắm bắt đối với nhiều CEO.

Dirk Hodgson, giám đốc an ninh mạng của NTT Australia, cho biết: “Hầu hết các rủi ro kinh doanh là cố định, nhưng rủi ro mạng thì hoàn toàn không”. “Trong an ninh mạng, những rủi ro không được thống nhất hoặc rõ ràng trên toàn cầu. Có thể đó không phải là sự thiếu tôn trọng CISO cũng như việc giao tiếp kém trong bối cảnh kinh doanh. Có sự khác biệt cơ bản về kỳ vọng giữa an ninh mạng và các đơn vị kinh doanh khác. Cho đến khi chúng ta khắc phục được điều đó, chúng ta sẽ bị mắc kẹt ở chỗ cũ.”

Oliver Tavakoli, CTO của Vectra AI, lập luận rằng chính bản chất của an ninh mạng đã gây ra vấn đề này. Mặc dù CISO thường xuyên đưa ra các bản ghi nhớ cho các giám đốc điều hành hàng đầu về nhiều vấn đề khác nhau nhưng chúng thường bị bỏ qua cho đến khi trường hợp khẩn cấp về an ninh xảy ra.

“An ninh mạng chỉ được giải quyết trong thời kỳ khủng hoảng. Hầu như luôn luôn, cuộc trò chuyện đó diễn ra trong một tình huống tiêu cực. Điều đó khiến cho việc phát triển mối quan hệ đó trở nên rất khó khăn,” Tavakoli nói. “Hầu hết các CISO bị mắc kẹt trong việc trở thành anh hùng đối với các CISO khác chứ không phải phần còn lại của C-suite.”

Brian Walker, Giám đốc điều hành của Cap Group, một công ty tư vấn an ninh mạng, cho biết thêm: “Tất cả là về thẩm quyền và sự tôn trọng. Nếu bạn có quyền và sếp của bạn không ủng hộ bạn thì CISO không thực sự có quyền.”

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Ô tô / Xe điện, Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• BlockOffsets. Hiện đại hóa quyền sở hữu bù đắp môi trường. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/edge-articles/cisos-need-backing-to-take-charge-of-security