기대치가 치솟는 가운데 CISO는 최고 경영진 지위를 위해 고군분투하고 있습니다.

CISO는 일반적으로 최고 경영진의 역할로 간주되는 책임을 맡아달라는 요청을 점점 더 많이 받고 있지만, 많은 조직에서는 그렇게 간주되거나 대우받지 못하고 있는 것으로 나타났습니다. 663명의 보안 임원을 대상으로 한 새로운 설문 조사에 따르면,

이 설문 조사는 IANS가 Artico Search와 공동으로 실시했으며 업무, 책임, 관리 지원 및 기타 주제와 관련된 다양한 문제에 대해 CISO를 대상으로 설문 조사를 실시했습니다.

그들 중 75%가 직업 변경을 찾고 있다고 답했습니다.

CISO 역할에 대한 기대가 바뀌었습니다

응답 결과에 따르면 무엇보다도 규제 기관의 조사가 강화되고 보안 위반에 대한 책임에 대한 요구가 증가하면서 공공 및 민간 부문 조직에서 CISO 역할에 대한 기대가 크게 바뀌었습니다.

예를 들어, 설문 보고서 에서 채택한 것과 같은 규칙을 지적했습니다. 증권 거래위원회 (SEC)은 지난 7월 상장 기업에 모든 중요한 보안 사고를 사건 발생 후 4일 이내에 보고하도록 요구했습니다. 또 다른 예는 뉴욕주 금융서비스부(NYDFS)가 발행하는 것입니다. 새로운 사이버 보안 요구 사항 금융 서비스 회사의 경우.

IANS와 Artico 보고서는 “이제 규제 당국은 CISO에게 조직을 대신하여 투명성과 심지어 사기에 대한 책임을 묻습니다.”라고 밝혔습니다. CISO가 경영진 회의에서 명확한 목소리를 내고 CEO 및 최고 경영진과 직접 소통하는 등 주로 비즈니스 위험 관리 기능을 수행할 것이라는 기대가 커지고 있습니다. 그러나 "역할에 대한 기대치가 C 레벨로 높아졌음에도 불구하고 CISO는 그렇게 여겨지는 데 어려움을 겪고 있으며 CISO 역할은 고위 리더십 팀의 일부가 아닌 경우가 많습니다."

예를 들어 설문조사에 따르면 CISO의 63% 이상이 부사장이나 이사급 직책을 갖고 있는 반면, 직위에 "최고"가 있음에도 불구하고 CISO 수준은 20%에 불과합니다. 매출이 1억 달러 이상인 조직의 경우 그 수치는 15%로 훨씬 적습니다. 보고 관점에서 보면 문제가 되는 CISO의 90%는 CEO 및 최고 경영진에서 최소한 두 개 이상의 조직 수준이 제거되어 있습니다. 분기별로 회사 이사회에 참여하는 비율은 50%에 불과합니다. 12분의 13은 이사회와 XNUMX년에 한두 번만 참여하고, XNUMX%는 순전히 임시적으로 이사회를 만나고, XNUMX%는 이사회와 전혀 접촉하지 않는다고 보고했습니다.

CISO 책임에 대한 지침 부족

많은 경우 이사회로부터 명확한 위험 지침을 원하는 CISO는 이를 얻지 못합니다. 겨우 36/XNUMX(XNUMX%)만이 이사회가 조치를 취할 수 있는 조직의 위험 허용 수준에 대한 명확한 통찰력을 제공한다고 설명했습니다.

IANS의 연구 책임자인 Nick Kakolowski는 "지난 몇 년 동안 CISO 역할의 발전이 극적으로 가속화되었습니다."라고 말합니다. 조직이 더 많은 운영을 디지털화함에 따라 CISO는 더 많은 책임을 맡고 있으며 사실상 디지털 위험의 소유자가 됐다고 그는 말했습니다. "[그러나] 조직에서는 역할 범위가 커짐에 따라 이를 지원하고 권한을 부여하는 방법을 찾지 못했습니다."

최근 몇 년간 CISO 커뮤니티 내에서는 해당 역할에 대한 기대치가 높아지는 것에 대한 우려가 커지고 있습니다. 이러한 기대치를 충족할 수 있는 능력은 크게 변하지 않았습니다. 지난 10월 SEC가 SolarWinds CISO Tim Brown을 기소한 것과 같은 사건 사기 및 내부 통제 실패 회사의 2020년 위반에 대해, 그리고 판사가 우버 전 CISO 조 설리반에게 형을 선고하다 2016년 위반에 대한 XNUMX년의 보호 관찰 기간이 이러한 우려를 불러일으켰습니다. 이러한 사건에서 보안 임원을 대상으로 한 조치가 정당했는지에 대한 논란이 있는 반면, 많은 사람들은 위반에 대한 책임을 보안 임원에게만 묻는 것이 불공평하다고 주장했습니다.

최고 경영진의 보안에 대한 역사적 편견

Kakolowski는 많은 조직이 여전히 CISO의 역할을 최고 경영진에 속하는 것으로 인식하지 못하는 이유 중 하나가 역사적 편견 때문이라고 말했습니다. 그는 “CISO는 비즈니스 언어를 구사하지 못하는 기술 전문가로 인식되는 경향이 있으며 종종 부당하게 인식되기도 합니다.”라고 말하면서 기술 개발에 있어 고립되는 경향이 있다고 덧붙였습니다. 그곳에서는 실행 능력 개발보다는 기술 역량과 팀 리더십에 초점을 맞추는 경향이 있습니다.

그 중 일부는 관성이기도 합니다. 크고 복잡한 조직은 새로운 과제와 조직 변화에 적응하는 데 시간이 걸립니다.

Kakolowski는 "가장 큰 과제는 CISO와 나머지 최고 경영진 간의 조화를 찾는 것입니다."라고 말합니다. "비즈니스 리더들은 CISO를 비즈니스 임원으로 제대로 활용하지 못하는 위험을 인식하기 시작했으며, CISO가 백오피스를 넘어 조직에 가치를 제공할 수 있는 능력을 입증할 수 있는 기회가 있습니다."

Kakolowski는 CISO 역할을 자신이 속한 최고 경영진으로 승격시키면 많은 이점을 얻을 수 있다고 주장합니다. 최고 경영진의 일원이 되면 CISO는 조직이 어디로 가고 있는지 더 잘 인식하고 가시성을 확보할 수 있으며 디지털 위험 관리에 관해 다른 이해관계자와 더 쉽게 협력할 수 있습니다.

“이를 통해 CISO는 위험보다 앞서 나갈 수 있게 되어 위험을 완화할 때 발생할 수 있는 마찰을 줄일 수 있게 됩니다.”라고 그는 말합니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/cybersecurity-operations/cisos-struggle-csuite-status-expectations-skyrocket