CISO ها برای وضعیت C-Suite تلاش می کنند، حتی در حالی که انتظارات سر به فلک کشیده است

یک نظرسنجی جدید از 663 مدیر امنیتی نشان داده است که به طور فزاینده‌ای از CISO خواسته می‌شود که مسئولیت‌هایی را که معمولاً یک نقش C-suite در نظر گرفته می‌شود، بر عهده بگیرند، اما بدون اینکه در بسیاری از سازمان‌ها به آن‌ها توجه شود یا با آنها رفتار شود.

این نظرسنجی توسط IANS با همکاری Artico Search انجام شد و از CISOها در مورد موضوعات مختلف مربوط به مشاغل، مسئولیت های آنها، پشتیبانی مدیریت و موضوعات دیگر نظرسنجی شد.

75 درصد از آنها گفتند که به دنبال تغییر شغل هستند.

انتظارات برای نقش CISO تغییر کرده است

پاسخ‌ها نشان داد که انتظارات برای نقش CISO در سازمان‌های بخش دولتی و خصوصی به‌طور چشمگیری تغییر کرده است، زیرا، در میان چیزهای دیگر، افزایش نظارت از سوی تنظیم‌کننده‌ها، و تقاضای فزاینده برای پاسخگویی در قبال نقض‌های امنیتی.

به عنوان مثال، بررسی گزارش به قوانینی مانند قوانینی که توسط بورس و اوراق بهادار کمیسیون (SEC) در ژوئیه گذشته که شرکت‌های سهامی عام را ملزم می‌کند تا تمام حوادث امنیت مادی را ظرف چهار روز پس از وقوع حادثه گزارش کنند. مثال دیگر صدور وزارت خدمات مالی ایالت نیویورک (NYDFS) است الزامات جدید امنیت سایبری برای شرکت های خدمات مالی

در گزارش IANS و Artico آمده است: «قانون‌گذاران اکنون سازمان‌های CISO را برای شفافیت و حتی تقلب از طرف سازمان‌هایشان مسئول می‌دانند. انتظار فزاینده ای وجود دارد که CISO در درجه اول به عنوان یک کارکرد مدیریت ریسک تجاری، با صدای واضح در جلسات رهبری اجرایی و یک خط ارتباط مستقیم با مدیر عامل و C-suite عمل کند. با این حال، "علیرغم اینکه انتظارات نقش به سطح C ارتقا می‌یابد، CISO‌ها در تلاش هستند تا به این شکل دیده شوند و نقش CISO اغلب بخشی از تیم رهبری ارشد نیست."

به عنوان مثال، این نظرسنجی نشان داد که در حالی که بیش از 63٪ از CISO ها یک سمت معاون رئیس یا مدیر دارند، تنها 20٪ در سطح C-suite با وجود داشتن "رئیس" در عنوان خود هستند. در مورد سازمان هایی با درآمد بیش از 1 میلیارد دلار، این رقم حتی کمتر است، یعنی 15٪. از نقطه نظر گزارش دهی، 90 درصد نگران کننده از CISO ها حداقل دو یا چند سطح سازمانی از مدیر عامل و C-suite حذف شده اند. فقط 50٪ با هیئت مدیره شرکت خود به صورت سه ماهه همکاری می کنند. یک چهارم یک یا دو بار در سال با هیئت مدیره ارتباط برقرار می کنند، 12٪ با هیئت مدیره صرفاً به صورت موقت ملاقات می کنند و 13٪ گزارش می دهند که اصلاً با هیئت مدیره تماس ندارند.

فقدان راهنمایی برای مسئولیت CISO

در بسیاری از موارد، CISOهایی که خواهان راهنمایی واضح ریسک از هیئت مدیره خود هستند، آن را دریافت نمی کنند. تقریباً بیش از یک سوم (36٪) هیئت مدیره خود را به گونه ای توصیف کردند که به آنها بینش کافی روشن در مورد سطوح تحمل ریسک سازمان خود ارائه می دهد تا آنها بتوانند بر اساس آن عمل کنند.

نیک کاکولوفسکی، مدیر تحقیقات IANS می گوید: «تکامل نقش CISO در چند سال گذشته به طرز چشمگیری سرعت گرفته است. او می‌گوید با دیجیتالی کردن بیشتر فعالیت‌های سازمان‌ها، CISOها مسئولیت‌های بیشتری را بر عهده می‌گیرند و بالفعل به مالکان ریسک دیجیتال تبدیل شده‌اند. «[اما] سازمان‌ها متوجه نشده‌اند که چگونه با افزایش دامنه نقش، از آنها حمایت و توانمند کنند.»

نگرانی‌ها در جامعه CISO در سال‌های اخیر در مورد انتظارات فزاینده پیرامون این نقش افزایش یافته است، حتی با وجود اینکه توانایی آنها برای برآورده کردن این انتظارات تا حد زیادی بدون تغییر باقی مانده است. حوادثی مانند اتفاقی که در اکتبر گذشته رخ داد، جایی که کمیسیون SEC، تیم براون را به CISO SolarWinds متهم کرد تقلب و شکست های کنترل داخلی در مورد نقض 2020 در شرکت، و جایی که یک قاضی جو سالیوان، مدیر عامل سابق Uber CISO محکوم شد سه سال حبس مشروط در مورد نقض در سال 2016، این نگرانی ها را تقویت کرده است. در حالی که برخی بحث ها در مورد اینکه آیا اقدامات علیه مدیران امنیتی در این حوادث موجه بوده است وجود دارد، بسیاری استدلال کرده اند که بی انصافی است که آنها را به تنهایی در قبال این تخلفات پاسخگو بدانیم.

سوگیری تاریخی در برابر امنیت به عنوان یک عملکرد سطح C

کاکولوفسکی می‌گوید یکی از دلایلی که بسیاری از سازمان‌ها هنوز نقش CISO را به عنوان متعلق به C-suite درک نمی‌کنند، سوگیری تاریخی است. او می‌گوید: «CISO‌ها معمولاً - اغلب به‌طور غیرمنصفانه - به‌عنوان فن‌آورانی که نمی‌توانند به زبان کسب‌وکار صحبت کنند، تلقی می‌شوند،» و اضافه می‌کند که معمولاً وقتی صحبت از توسعه مهارت‌ها به میان می‌آید، مورد بی‌اعتنایی قرار می‌گیرند. تلاش‌ها در آنجا اغلب بر قابلیت‌های فنی و رهبری تیم متمرکز است تا توسعه مهارت‌های اجرایی.

بخشی از آن نیز اینرسی است. سازمان‌های بزرگ و پیچیده زمان می‌برند تا با چالش‌های جدید و تغییرات سازمانی سازگار شوند.

کاکولوفسکی می‌گوید: «بزرگ‌ترین چالش، مبارزه برای یافتن همسویی بین CISOs و بقیه C-suite است. "رهبران کسب و کار شروع به آگاهی از خطر استفاده ناکافی از CISO به عنوان مدیران تجاری کرده اند، و فرصتی برای CISO ها وجود دارد تا توانایی خود را در ارائه ارزش به سازمان فراتر از دفتر پشتیبان نشان دهند."

کاکولوفسکی استدلال می کند که ارتقای نقش CISO به جایی که به آن تعلق دارد، در C-suite، می تواند مزایای زیادی داشته باشد. عضویت در مدیریت ارشد به CISO آگاهی و دید بهتری نسبت به جایی که سازمان می‌رود می‌دهد و همکاری آنها با سایر سهامداران در مدیریت ریسک دیجیتال را آسان‌تر می‌کند.

او خاطرنشان می‌کند: «این CISO را در موقعیتی قرار می‌دهد که از ریسک جلوتر باشد و در نتیجه اصطکاک‌هایی را که ممکن است هنگام کاهش خطرات ایجاد شود کاهش می‌دهد».

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/cybersecurity-operations/cisos-struggle-csuite-status-expectations-skyrocket