期待が高まる中、CISOは経営幹部の地位を得るために奮闘する

CISO は、通常は経営幹部の役割と考えられる役割を担うようますます求められていますが、多くの組織ではそのようにみなされず、扱われていないことが、663 人のセキュリティ担当者を対象とした新しい調査で明らかになりました。

この調査は IANS が Artico Search と協力して実施し、CISO を対象に、仕事、責任、管理サポート、その他のトピックに関連するさまざまな問題についてアンケートを実施しました。

そのうちの実に 75% が転職を探していると回答しました。

CISO の役割に対する期待の変化

回答からは、とりわけ規制当局からの監視の強化や、セキュリティ侵害に対する説明責任の要求の高まりなどにより、CISO の役割に対する期待が官民セクターの組織で劇的に変化していることがわかりました。

例として、 調査報告書 によって採用されたような規則を指しました。 証券取引委員会 （SEC）は昨年 7 月、上場企業に対し、すべての重大なセキュリティ インシデントをインシデント発生から 4 日以内に報告するよう義務付けました。もう 1 つの例は、ニューヨーク州金融サービス局 (NYDFS) が発行した 新しいサイバーセキュリティ要件 金融サービス会社向け。

IANSとArticoの報告書は、「規制当局は現在、CISOに対し、組織を代表して透明性や不正行為についても責任を負わせている」と述べている。 CISO が主にビジネス リスク管理機能として機能し、経営幹部会議で明確な発言力を持ち、CEO や経営幹部と直接コミュニケーションをとることへの期待が高まっています。しかし、「期待される役割が経営幹部レベルに引き上げられているにもかかわらず、CISO はそのように見られるのに苦労しており、CISO の役割は上級幹部チームの一部ではないことがよくあります。」

たとえば、調査では、CISO の 63% 以上が副社長またはディレクター レベルの役職に就いている一方、役職に「チーフ」が付いているにもかかわらず、経営幹部レベルの役職に就いているのは 20% のみであることが示されました。収益が 1 億ドルを超える組織の場合、その数字はさらに小さく、15% です。報告の観点から見ると、厄介なことに、CISO の 90% は、少なくとも 50 つ以上の組織レベルで CEO および経営幹部から削除されています。四半期ベースで会社の取締役会に参加しているのはわずか 12% です。取締役会との関わりは年に 13 ～ XNUMX 回のみで、XNUMX% は純粋にその場限りで取締役会と会合し、XNUMX% は取締役会とまったく接触していないと報告しています。

CISO の責任に関するガイダンスの欠如

多くの場合、取締役会から明確なリスクに関するガイダンスを求めている CISO は、それを理解できません。わずか 36 分の XNUMX 以上 (XNUMX%) が、取締役会が組織のリスク許容度レベルについて十分な明確な洞察を提供し、それに基づいて行動できると回答しました。

「ここ数年で CISO の役割の進化は劇的に加速しました」と IANS の調査ディレクターであるニック・カコロフスキー氏は述べています。組織が業務のデジタル化を進める中、CISOはより多くの責任を負うようになり、事実上のデジタルリスクの所有者となっている、と同氏は言う。 「[しかし]組織は、役割の範囲が拡大するにつれて、組織をサポートし、権限を与える方法を見つけていません。」

近年、CISO コミュニティ内では、CISO の役割に対する期待が高まっているにもかかわらず、その期待に応える能力はほとんど変わっていないという懸念が高まっています。昨年 10 月に SEC が SolarWinds CISO の Tim Brown 氏を起訴したような事件 不正行為と内部統制の失敗 2020年の同社の違反事件をめぐって、裁判官が ウーバー元最高情報責任者ジョー・サリバン氏に判決 2016年の違反でXNUMX年間の保護観察処分を受けたことも、こうした懸念を増幅させている。これらの事件におけるセキュリティ担当者に対する措置が正当だったかどうかについては議論があるが、違反の責任をセキュリティ担当者だけに負わせるのは不公平だと多くの人が主張している。

経営幹部レベルの機能としてのセキュリティに対する歴史的な偏見

多くの組織が依然として CISO の役割が経営幹部の一員であると認識していない理由の 1 つは、歴史的な偏見にあるとカコロフスキー氏は言います。 「CISOは、ビジネスの言語を話せない技術者として認識される傾向があり、多くの場合不公平です」と彼は言い、スキル開発に関してはサイロ化する傾向が多いと付け加えた。そこでの取り組みは、多くの場合、経営陣のスキル開発ではなく、技術的能力とチームのリーダーシップに焦点を当てる傾向があります。

惰性もあります。大規模で複雑な組織は、新たな課題や組織の変化に適応するのに時間がかかります。

「最大の課題は、CISO とその他の経営幹部の間で調整を図るのに苦労していることです」と Kakolowski 氏は言います。 「ビジネスリーダーは、CISOが経営者として十分に活用されていないことのリスクに気づき始めており、CISOにはバックオフィスを超えて組織に価値を提供する能力を実証する機会が存在します。」

CISO の役割を経営幹部の中に昇格させることには、多くの利点があるとカコロフスキー氏は主張します。経営トップの一員となることで、CISO は組織がどこに向かっているのかをよりよく認識し、可視化できるようになり、デジタル リスク管理に関して他の関係者と協力することが容易になります。

「これにより、CISO はリスクを先取りできるようになり、リスクを軽減する際に生じる可能性のある摩擦が軽減されます」と彼は指摘します。

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/cybersecurity-operations/cisos-struggle-csuite-status-expectations-skyrocket