CISO:er kämpar för C-Suite-status även när förväntningarna skjuter i höjden

CISO:er uppmanas i allt högre grad att ta på sig ansvaret för vad som normalt skulle anses vara en C-suite-roll, men utan att bli betraktad eller behandlad som sådan hos många organisationer, har en ny undersökning bland 663 säkerhetschefer visat.

Undersökningen genomfördes av IANS i samarbete med Artico Search och tillfrågade CISO:er om en mängd olika frågor relaterade till deras jobb, deras ansvar, ledningsstöd och andra ämnen.

Hela 75 % av dem sa att de letar efter ett jobbbyte.

Förväntningarna på CISO-rollen har förändrats

Svaren visade att förväntningarna på CISO-rollen har förändrats dramatiskt hos organisationer inom den offentliga och privata sektorn, bland annat på grund av ökad granskning från tillsynsmyndigheter och växande krav på ansvarsskyldighet för säkerhetsöverträdelser.

Som ett exempel, undersökningsrapport pekade på regler som de som antagits av säkerhet och utbytesprovision (SEC) i juli förra året som kräver att börsnoterade företag rapporterar alla väsentliga säkerhetsincidenter inom fyra dagar efter att incidenten inträffade. Ett annat exempel är New York State Department of Financial Services (NYDFS) utfärdande nya krav på cybersäkerhet för finansiella tjänsteföretag.

"Tillsynsmyndigheter håller nu CISO:er ansvariga för transparens och till och med bedrägerier på uppdrag av sina organisationer", heter det i IANS och Articos rapport. Det finns en växande förväntning om att CISO i första hand ska fungera som en affärsriskhanteringsfunktion, med en tydlig röst vid ledningsmöten och en direkt kommunikationslinje med VD och C-suite. Ändå, "trots att rollförväntningarna höjs till C-nivå, kämpar CISO:er för att ses som sådana, och CISO-rollen är ofta inte en del av det högre ledarteamet."

Undersökningen visade till exempel att medan mer än 63 % av CISO:er har en position som vicepresident eller direktör, är endast 20 % på C-suite-nivå trots att de har "chef" i sin titel. När det gäller organisationer med intäkter på mer än 1 miljard dollar är den siffran ännu mindre, 15 %. Ur rapporteringssynpunkt är 90 % av CISO:er besvärande på minst två eller flera organisationsnivåer borttagna från VD och C-suite. Bara 50 % engagerar sig i sitt företags styrelse på kvartalsbasis. En fjärdedel samarbetar med styrelsen bara en eller två gånger per år, 12 % träffar styrelsen enbart på ad hoc-basis och 13 % uppger att de inte har någon kontakt med styrelsen alls.

En brist på vägledning för CISO-ansvar

I många fall förstår inte CISO:er som vill ha tydlig riskvägledning från sin styrelse. Knappt mer än en tredjedel (36 %) beskrev att deras styrelse ger dem tillräckligt tydlig insikt i organisationens risktoleransnivåer för att de ska kunna agera utifrån.

"Utvecklingen av CISO-rollen under de senaste åren har accelererat dramatiskt", säger Nick Kakolowski, forskningschef på IANS. Med organisationer som digitaliserar mer av sin verksamhet tar CISO:er på sig mer ansvar och har blivit de facto ägare av digitala risker, säger han. "[Men] organisationer har inte kommit på hur de ska stödja och stärka dem när omfattningen av rollen växer."

Oron har ökat inom CISO-gemenskapen under de senaste åren om de eskalerande förväntningarna kring rollen, även om deras förmåga att möta dessa förväntningar har varit i stort sett oförändrade. Incidenter som en förra oktober där SEC anklagade SolarWinds CISO Tim Brown för bedrägeri och internkontrollmisslyckanden över 2020 års intrång på företaget, och där en domare dömde tidigare Uber CISO Joe Sullivan till tre års skyddstillsyn över ett brott 2016, har underblåst dessa farhågor. Även om det finns en viss debatt om huruvida åtgärderna mot säkerhetscheferna i dessa incidenter var berättigade, har många hävdat att det är orättvist att hålla dem ensamma ansvariga för överträdelserna.

Historisk bias Against Security som en C-Level-funktion

En av anledningarna till att många organisationer fortfarande inte uppfattar CISO:s roll som tillhörande C-suiten är historisk fördom, säger Kakolowski. "CISO:er tenderar att uppfattas - ofta orättvist - som tekniker som inte kan företagets språk", säger han och tillägger att de ofta tenderar att bli tystade när det gäller kompetensutveckling. Insatser där tenderar ofta att fokusera på tekniska förmågor och teamledarskap, snarare än på chefskompetensutveckling.

En del av det är också tröghet. Stora, komplexa organisationer tar tid att anpassa sig till nya utmaningar och organisatoriska förändringar.

"Den största utmaningen är kampen för att hitta anpassning mellan CISO:erna och resten av C-sviten," säger Kakolowski. "Företagsledare börjar bli medvetna om risken att underutnyttja CISO:er som företagsledare, och det finns en möjlighet för CISO:er att visa sin förmåga att erbjuda värde till organisationen bortom backoffice."

Att lyfta CISO-rollen till där den hör hemma, i C-suiten, kan ha många fördelar, hävdar Kakolowski. Att vara en del av högsta ledningen ger CISO bättre medvetenhet och insyn i vart organisationen är på väg, och gör det lättare för dem att samarbeta med andra intressenter kring digital riskhantering.

"Det positionerar CISO för att komma före risken, och därigenom minska friktionen som kan uppstå när risker mildras", noterar han.

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/cybersecurity-operations/cisos-struggle-csuite-status-expectations-skyrocket