CISOt kamppailevat C-Suite-tilan puolesta jopa odotusten noustessa

CISO:ita pyydetään yhä useammin ottamaan vastuuta siitä, mitä tavallisesti pidettäisiin C-sarjan roolina, mutta ilman että niitä pidettäisiin tai kohdeltaisiin sellaisina monissa organisaatioissa, uusi 663 tietoturvajohtajan tutkimus on osoittanut.

Kyselyn toteutti IANS yhteistyössä Artico Searchin kanssa, ja CISO:ilta tehtiin kyselyitä erilaisista heidän työhönsä, vastuisiinsa, johdon tukeen ja muihin aiheisiin liittyvistä kysymyksistä.

Täysi 75 % heistä ilmoitti etsivänsä työpaikan vaihtoa.

Odotukset CISO-rooliin ovat muuttuneet

Vastaukset osoittivat, että odotukset CISO-roolia kohtaan ovat muuttuneet dramaattisesti julkisen ja yksityisen sektorin organisaatioissa muun muassa sääntelyviranomaisten lisääntyneen valvonnan ja kasvavan tietoturvaloukkausten vastuuvelvollisuuden vuoksi.

Esimerkiksi tutkimusraportti viittasi sääntöihin, jotka ovat hyväksyneet Securities and Exchange Commission (SEC) viime heinäkuussa, jotka vaativat julkisesti noteerattuja yhtiöitä raportoimaan kaikista olennaisista tietoturvaloukkauksista neljän päivän kuluessa tapahtumasta. Toinen esimerkki on New Yorkin osavaltion rahoituspalveluministeriön (NYDFS) myöntämä liikkeeseenlasku uusia kyberturvallisuusvaatimuksia rahoituspalveluyrityksille.

"Sääntelyviranomaiset pitävät nyt CISO:ta vastuussa avoimuudesta ja jopa petoksista organisaatioidensa puolesta", IANS:n ja Articon raportissa todetaan. Kasvavat odotukset siitä, että CISO toimii ensisijaisesti liiketoiminnan riskienhallintatoimintona, jolla on selkeä ääni johdon kokouksissa ja suora yhteys toimitusjohtajan ja C-sarjan kanssa. Silti "huolimatta rooliodotuksista, jotka on nostettu C-tasolle, CISO:t kamppailevat saadakseen heidät sellaisiksi, eikä CISO-rooli usein kuulu ylimmän johtoryhmän jäseneksi."

Tutkimus osoitti esimerkiksi, että vaikka yli 63 %:lla CISO:sta on varapresidentti- tai johtajatason asema, vain 20 % on C-sarjan tasolla huolimatta siitä, että heidän nimikkeessään on "päällikkö". Organisaatioissa, joiden tulot ovat yli miljardi dollaria, luku on vielä pienempi, 1 prosenttia. Raportoinnin näkökulmasta huolestuttava 15 % CISO:sta on ainakin kahdella tai useammalla organisaatiotasolla erotettu toimitusjohtajasta ja C-sarjasta. Vain 90 % osallistuu yrityksensä hallitukseen neljännesvuosittain. Neljännes käy hallituksen kanssa vain kerran tai kahdesti vuodessa, 50 % tapaa hallituksen puhtaasti tapauskohtaisesti ja 12 % ilmoittaa, ettei heillä ole lainkaan yhteyttä hallitukseen.

CISO-vastuun ohjeiden puute

Monissa tapauksissa CISO:t, jotka haluavat selkeää riskiohjetta hallitukseltaan, eivät saa sitä. Hädin tuskin yli kolmannes (36 %) kuvaili hallitustaan ​​tarjoavan heille riittävän selkeän käsityksen organisaationsa riskinsietokyvystä, jotta he voivat toimia.

"CISO-roolin kehitys on viime vuosina nopeutunut dramaattisesti", sanoo IANS:n tutkimusjohtaja Nick Kakolowski. Kun organisaatiot digitalisoivat enemmän toimintaansa, CISO:t ottavat enemmän vastuuta ja niistä on tullut digitaalisten riskien tosiasiallisia omistajia, hän sanoo. "[Mutta] organisaatiot eivät ole keksineet, kuinka tukea ja voimaannuttavaa niitä roolin laajuuden kasvaessa."

CISO-yhteisössä on viime vuosina kasvanut huoli rooliin liittyvien odotusten lisääntymisestä, vaikka heidän kykynsä täyttää nämä odotukset ovat pysyneet suurelta osin ennallaan. Tapauksia, kuten viime lokakuussa, jossa SEC syytti SolarWinds CISO Tim Brownia petokset ja sisäisen valvonnan epäonnistumiset yli 2020 rikkomuksen yrityksessä, ja jossa tuomari tuomittiin entinen Uber CISO Joe Sullivan kolme vuotta koeaikaa vuoden 2016 rikkomisesta, ovat lisänneet näitä huolenaiheita. Vaikka keskustelua käydäänkin siitä, olivatko turvallisuusjohtajien vastaiset toimet oikeutettuja näissä tapahtumissa, monet ovat väittäneet, että on epäreilua pitää heitä yksin vastuullisina rikkomuksista.

Historiallinen painostus turvallisuutta vastaan ​​C-tason funktiona

Yksi syy siihen, miksi monet organisaatiot eivät edelleenkään koe CISO:n roolia C-sarjaan kuuluvana, on historiallinen harha, Kakolowski sanoo. "CISO:t yleensä nähdään - usein epäoikeudenmukaisesti - teknisinä asiantuntijoina, jotka eivät osaa puhua yrityksen kieltä", hän sanoo ja lisää, että heillä on usein tapana jäädä vaille, kun on kyse taitojen kehittämisestä. Siellä ponnistelut keskittyvät usein teknisiin valmiuksiin ja tiimin johtamiseen johtamistaitojen kehittämisen sijaan.

Osa siitä on myös inertiaa. Suuret, monimutkaiset organisaatiot vievät aikaa sopeutuakseen uusiin haasteisiin ja organisaation muutoksiin.

"Suurin haaste on kamppailu CISO:n ja muun C-sarjan välisen linjauksen löytämiseksi", Kakolowski sanoo. "Yritysjohtajat ovat alkaneet tiedostaa riskin, että CISO:ta ei hyödynnetä yritysjohtajina, ja CISO:lla on mahdollisuus osoittaa kykynsä tarjota arvoa organisaatiolle taustatoimiston ulkopuolella."

CISO-roolin nostaminen sinne, missä se kuuluu, C-sarjassa, voi tuoda monia etuja, Kakolowski väittää. Ylimpään johtoon kuuluminen antaa CISOlle paremman tietoisuuden ja näkyvyyden siitä, missä organisaatio on menossa, ja helpottaa yhteistyötä muiden sidosryhmien kanssa digitaalisessa riskienhallinnassa.

"Se asettaa CISO:n ennaltaehkäisemään riskejä, mikä vähentää kitkaa, joka voi syntyä riskejä pienennettäessä", hän huomauttaa.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/cybersecurity-operations/cisos-struggle-csuite-status-expectations-skyrocket