CISO'er kæmper for C-Suite-status, selvom forventningerne skyder i vejret

CISO'er bliver i stigende grad bedt om at påtage sig ansvaret for, hvad der normalt ville blive betragtet som en C-suite-rolle, men uden at blive betragtet eller behandlet som sådan i mange organisationer, har en ny undersøgelse blandt 663 sikkerhedsledere vist.

Undersøgelsen blev udført af IANS i samarbejde med Artico Search og spurgte CISO'er om en række spørgsmål relateret til deres job, deres ansvar, ledelsesstøtte og andre emner.

Hele 75 % af dem sagde, at de leder efter et jobskifte.

Forventningerne til CISO-rollen har ændret sig

Svarene viste, at forventningerne til CISO-rollen har ændret sig dramatisk hos offentlige og private organisationer, blandt andet på grund af øget kontrol fra regulatorer og stigende krav om ansvarlighed for sikkerhedsbrud.

Som et eksempel er undersøgelsesrapport pegede på regler som dem, der er vedtaget af Securities and Exchange Commission (SEC) i juli sidste år, der kræver, at børsnoterede virksomheder rapporterer alle væsentlige sikkerhedshændelser inden for fire dage efter hændelsen. Et andet eksempel er New York State Department of Financial Services (NYDFS) udstedelse nye krav til cybersikkerhed for finansielle servicevirksomheder.

"Regulatorer holder nu CISO'er ansvarlige for gennemsigtighed og endda bedrageri på vegne af deres organisationer," sagde IANS og Artico-rapporten. Der er en voksende forventning om, at CISO primært vil fungere som en virksomheds risikostyringsfunktion med en klar stemme på ledermøder og en direkte kommunikationslinje med CEO og C-suite. Alligevel, "på trods af, at rolleforventningerne er hævet til C-niveau, kæmper CISO'er for at blive betragtet som sådan, og CISO-rollen er ofte ikke en del af det øverste ledelsesteam."

Undersøgelsen viste f.eks., at mens mere end 63 % af CISO'er har en vicepræsident eller direktørstilling, er kun 20 % på C-suite-niveau på trods af at de har "chef" i deres titel. I tilfælde af organisationer med en omsætning på mere end 1 milliard dollars, er dette tal endnu mindre med 15 %. Fra et rapporteringssynspunkt er bekymrende 90 % af CISO'er mindst to eller flere organisatoriske niveauer fjernet fra CEO og C-suite. Kun 50 % engagerer sig i deres virksomheds bestyrelse på kvartalsbasis. En fjerdedel har kun kontakt med bestyrelsen en eller to gange om året, 12 % møder bestyrelsen udelukkende på ad hoc-basis, og 13 % oplyser, at de slet ikke har kontakt til bestyrelsen.

Mangel på vejledning for CISO-ansvar

I mange tilfælde får CISO'er, der ønsker klar risikovejledning fra deres bestyrelse, det ikke. Knap mere end en tredjedel (36 %) beskrev deres bestyrelse som at give dem klar nok indsigt i deres organisations risikotoleranceniveauer til, at de kunne handle på det.

"Udviklingen af ​​CISO-rollen i løbet af de sidste par år er accelereret dramatisk," siger Nick Kakolowski, forskningsdirektør hos IANS. Med organisationer, der digitaliserer mere af deres operationer, tager CISO'er mere ansvar og er blevet de facto ejere af digitale risici, siger han. "[Men] organisationer har ikke fundet ud af, hvordan de skal støtte og styrke dem, efterhånden som omfanget af rollen vokser."

Bekymringer er vokset inden for CISO-samfundet i de seneste år om de eskalerende forventninger omkring rollen, selvom deres evne til at opfylde disse forventninger stort set er forblevet uændret. Hændelser som en i oktober sidste år, hvor SEC anklagede SolarWinds CISO Tim Brown for svindel og intern kontrolsvigt over 2020 bruddet på virksomheden, og hvor en dommer dømt tidligere Uber CISO Joe Sullivan til tre års betinget fængsel over et brud i 2016, har givet næring til disse bekymringer. Mens der er en vis debat om, hvorvidt handlingerne mod sikkerhedslederne i disse hændelser var berettigede, har mange hævdet, at det er uretfærdigt at holde dem alene ansvarlige for brudene.

Historisk skævhed mod sikkerhed som en funktion på C-niveau

En af grundene til, at mange organisationer stadig ikke opfatter CISOs rolle som at høre til i C-suiten, er historisk skævhed, siger Kakolowski. "CISO'er har en tendens til at blive opfattet - ofte uretfærdigt - som teknologer, der ikke kan tale virksomhedens sprog," siger han og tilføjer, at de ofte har en tendens til at blive sløvet, når det kommer til kompetenceudvikling. Indsatsen dér har ofte en tendens til at fokusere på tekniske evner og teamledelse, snarere end på udvikling af ledende kompetencer.

Noget af det er også inerti. Store, komplekse organisationer tager tid at tilpasse sig nye udfordringer og organisatoriske skift.

"Den største udfordring er kampen for at finde overensstemmelse mellem CISO'erne og resten af ​​C-suiten," siger Kakolowski. "Virksomhedsledere begynder at blive opmærksomme på risikoen ved at underudnytte CISO'er som virksomhedsledere, og der er mulighed for CISO'er til at demonstrere deres evne til at tilbyde værdi til organisationen ud over backoffice."

At løfte CISO-rollen til hvor den hører hjemme i C-suiten kan have mange fordele, hævder Kakolowski. At være en del af topledelsen giver CISO bedre bevidsthed og synlighed i, hvor organisationen er på vej hen, og gør det nemmere for dem at samarbejde med andre interessenter om digital risikostyring.

"Det positionerer CISO til at komme foran risikoen og reducerer derved den friktion, der kan opstå, når man mindsker risici," bemærker han.

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• Kilde: https://www.darkreading.com/cybersecurity-operations/cisos-struggle-csuite-status-expectations-skyrocket