尽管期望值飙升,首席信息安全官仍在争夺高管地位

尽管期望值飙升,首席信息安全官仍在争夺高管地位

时间戳记:19年2024月1日下午05:XNUMX
尽管柏拉图区块链数据智能的期望值飙升,首席信息安全官仍在争夺高管地位。垂直搜索。人工智能。

一项针对 663 名安全高管的新调查显示,越来越多的 CISO 被要求承担通常被视为最高管理层角色的职责,但在许多组织中却没有被视为或对待。

该调查由 IANS 与 Artico Search 合作进行,就与 CISO 的工作、职责、管理支持和其他主题相关的各种问题进行了民意调查。

整整 75% 的人表示他们正在寻找工作变动。

对 CISO 角色的期望发生了变化

调查结果显示,公共和私营部门组织对 CISO 角色的期望发生了巨大变化,原因之一是监管机构加强了审查,以及对安全漏洞问责的要求不断提高。

例如, 调查报告 指出了类似的规则 美国证券交易委员会 (SEC) 去年 7 月要求上市公司在事件发生后四天内报告所有重大安全事件。另一个例子是纽约州金融服务部 (NYDFS) 发布 新的网络安全要求 对于金融服务公司。

IANS 和 Artico 的报告称:“监管机构现在要求 CISO 代表其组织对透明度甚至欺诈行为负责。”人们越来越期望 CISO 主要充当业务风险管理职能,在高管领导会议上拥有清晰的发言权,并与首席执行官和最高管理层进行直接沟通。然而,“尽管 CISO 的角色期望被提升到 C 级,但他们很难被视为 C 级,而且 CISO 的角色通常不属于高级领导团队。”

例如,调查显示,虽然超过 63% 的 CISO 担任副总裁或总监级别职位,但只有 20% 的 CISO 担任最高级别高管,尽管他们的头衔是“首席”。对于收入超过 1 亿美元的组织来说,这个数字甚至更小,为 15%。从报告的角度来看,令人不安的是,90% 的 CISO 至少从首席执行官和最高管理层中撤出了两个或更多组织级别。只有 50% 的人每季度与公司董事会接触一次。四分之一的人每年只与董事会接触一到两次,12% 的人纯粹临时与董事会会面,13% 的人表示根本没有与董事会接触。

缺乏 CISO 责任指导

在许多情况下,希望董事会提供明确风险指导的 CISO 却无法得到。略超过三分之一 (36%) 的受访者表示,他们的董事会为他们提供了足够清晰的洞察,让他们了解组织的风险承受水平,以便他们采取行动。

IANS 研究总监 Nick Kakolowski 表示:“过去几年,CISO 角色的演变急剧加速。”他表示,随着组织更多地实现运营数字化,首席信息安全官正在承担更多责任,并成为数字风险事实上的所有者。 “[但是]随着角色范围的扩大,组织还没有弄清楚如何支持和授权他们。”

近年来,CISO 社区内部对该角色的期望不断升级,这一担忧与日俱增,尽管他们满足这些期望的能力基本保持不变。去年 10 月,美国证券交易委员会 (SEC) 对 SolarWinds 首席信息安全官 Tim Brown 提出指控 欺诈和内部控制失败 关于该公司 2020 年的违规行为,以及法官 Uber 前 CISO Joe Sullivan 被判刑 因 2016 年的违规行为而被判处三年缓刑,加剧了这些担忧。尽管对于这些事件中针对安全高管的行为是否合理存在一些争论,但许多人认为,让他们单独对这些违规行为负责是不公平的。

历史上对安全作为 C 级职能的偏见

Kakolowski 表示,许多组织仍然不认为 CISO 的角色属于最高管理层,原因之一是历史偏见。他表示:“CISO 往往被认为是不会讲业务语言的技术人员,这往往是不公平的。”他补充说,在技能发展方面,他们往往会陷入孤立。那里的努力往往侧重于技术能力和团队领导力,而不是管理技能的发展。

其中一些也是惯性。大型、复杂的组织需要时间来适应新的挑战和组织转变。

“最大的挑战是如何在 CISO 和其他高管之间找到一致,”Kakolowski 说。 “企业领导者开始意识到未充分利用 CISO 作为企业高管的风险,并且 CISO 有机会展示他们为后台以外的组织提供价值的能力。”

Kakolowski 认为,将 CISO 的角色提升到其所属的最高管理层,可以带来很多好处。作为高层管理人员的一员,CISO 可以更好地了解和了解组织的发展方向,并更轻松地与其他利益相关者就数字风险管理进行协作。

“它使 CISO 能够领先于风险,从而减少在降低风险时可能出现的摩擦,”他指出。

时间戳记:

更多来自 暗读