CISO ดิ้นรนเพื่อสถานะ C-Suite แม้ความคาดหวังจะพุ่งสูงขึ้น

CISO ถูกขอให้รับหน้าที่รับผิดชอบในสิ่งที่ปกติถือเป็นบทบาทของ C-suite มากขึ้นเรื่อยๆ แต่ผลการสำรวจใหม่ของผู้บริหารด้านความปลอดภัย 663 รายกลับไม่ได้รับการพิจารณาหรือปฏิบัติเช่นนั้นในหลายองค์กร

การสำรวจนี้จัดทำโดย IANS โดยความร่วมมือกับ Artico Search และสำรวจความคิดเห็นของ CISO ในประเด็นต่างๆ ที่เกี่ยวข้องกับงาน ความรับผิดชอบ การสนับสนุนด้านการจัดการ และหัวข้ออื่นๆ

75% เต็มกล่าวว่าพวกเขากำลังมองหาการเปลี่ยนงาน

ความคาดหวังสำหรับบทบาทของ CISO เปลี่ยนไป

คำตอบแสดงให้เห็นว่าความคาดหวังสำหรับบทบาทของ CISO มีการเปลี่ยนแปลงอย่างมากในองค์กรภาครัฐและเอกชน เนื่องจากเหนือสิ่งอื่นใด การตรวจสอบข้อเท็จจริงที่เพิ่มขึ้นจากหน่วยงานกำกับดูแล และความต้องการที่เพิ่มขึ้นสำหรับความรับผิดชอบต่อการละเมิดความปลอดภัย

ตัวอย่างเช่น รายงานการสำรวจ ชี้ไปที่กฎเกณฑ์เช่นเดียวกับที่นำมาใช้โดย สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) เมื่อเดือนกรกฎาคมปีที่แล้วที่กำหนดให้บริษัทที่ซื้อขายในตลาดหลักทรัพย์ต้องรายงานเหตุการณ์ด้านความปลอดภัยที่เป็นสาระสำคัญทั้งหมดภายในสี่วันหลังจากเหตุการณ์เกิดขึ้น อีกตัวอย่างหนึ่งคือการออกกระทรวงบริการทางการเงินแห่งรัฐนิวยอร์ก (NYDFS) ข้อกำหนดด้านความปลอดภัยทางไซเบอร์ใหม่ สำหรับบริษัทที่ให้บริการทางการเงิน

“ตอนนี้หน่วยงานกำกับดูแลกำหนดให้ CISO รับผิดชอบต่อความโปร่งใสและแม้แต่การฉ้อโกงในนามขององค์กรของพวกเขา” รายงานของ IANS และ Artico กล่าว มีความคาดหวังเพิ่มมากขึ้นว่า CISO จะทำหน้าที่เป็นหน่วยงานบริหารความเสี่ยงทางธุรกิจเป็นหลัก โดยมีเสียงที่ชัดเจนในการประชุมผู้นำผู้บริหารและสายการสื่อสารโดยตรงกับ CEO และ C-suite ถึงกระนั้น “แม้ว่าความคาดหวังในบทบาทจะได้รับการยกระดับเป็นระดับ C แต่ CISO ก็ประสบปัญหาในการถูกมองเช่นนั้น และบทบาทของ CISO มักจะไม่ได้เป็นส่วนหนึ่งของทีมผู้นำอาวุโส”

การสำรวจแสดงให้เห็นว่าในขณะที่ CISO มากกว่า 63% มีตำแหน่งรองประธานหรือผู้อำนวยการ แต่มีเพียง 20% เท่านั้นที่อยู่ในระดับ C-suite แม้ว่าจะมี "หัวหน้า" อยู่ในตำแหน่งก็ตาม ในกรณีขององค์กรที่มีรายได้มากกว่า 1 พันล้านดอลลาร์ ตัวเลขนั้นจะยิ่งน้อยลงไปอีกที่ 15% จากจุดยืนในการรายงาน CISO 90% ที่น่าหนักใจจะถูกถอดระดับองค์กรอย่างน้อยสองระดับขึ้นไปออกจาก CEO และ C-suite มีเพียง 50% มีส่วนร่วมกับคณะกรรมการของบริษัทเป็นรายไตรมาส หนึ่งในสี่มีส่วนร่วมกับคณะกรรมการเพียงครั้งเดียวหรือสองครั้งต่อปี โดย 12% พบปะกับคณะกรรมการแบบเฉพาะกิจเท่านั้น และ 13% รายงานว่าไม่มีการติดต่อกับคณะกรรมการเลย

ขาดคำแนะนำสำหรับความรับผิดชอบของ CISO

ในหลายกรณี CISO ที่ต้องการคำแนะนำด้านความเสี่ยงที่ชัดเจนจากคณะกรรมการจะไม่ได้รับคำแนะนำ มากกว่าหนึ่งในสาม (36%) อธิบายว่าคณะกรรมการของพวกเขาเสนอข้อมูลเชิงลึกที่ชัดเจนเพียงพอเกี่ยวกับระดับการยอมรับความเสี่ยงขององค์กรเพื่อให้พวกเขาดำเนินการได้

“วิวัฒนาการของบทบาทของ CISO ในช่วงไม่กี่ปีที่ผ่านมาได้เพิ่มขึ้นอย่างรวดเร็ว” Nick Kakolowski ผู้อำนวยการฝ่ายวิจัยของ IANS กล่าว เนื่องจากองค์กรต่างๆ เปลี่ยนการดำเนินงานของตนให้เป็นดิจิทัลมากขึ้น CISO จึงมีความรับผิดชอบมากขึ้นและกลายเป็นเจ้าของความเสี่ยงด้านดิจิทัลโดยพฤตินัย เขากล่าว “[แต่] องค์กรต่างๆ ยังไม่รู้ว่าจะสนับสนุนและเพิ่มขีดความสามารถพวกเขาอย่างไรเมื่อขอบเขตของบทบาทเติบโตขึ้น”

ในช่วงไม่กี่ปีที่ผ่านมา ชุมชน CISO มีข้อกังวลเพิ่มขึ้นเกี่ยวกับความคาดหวังที่เพิ่มขึ้นเกี่ยวกับบทบาทนี้ แม้ว่าความสามารถในการปฏิบัติตามความคาดหวังเหล่านั้นยังคงไม่เปลี่ยนแปลงมากนัก เหตุการณ์เหมือนเมื่อเดือนตุลาคมปีที่แล้วที่ ก.ล.ต. เรียกเก็บเงินจาก SolarWinds CISO Tim Brown ด้วย การทุจริตและความล้มเหลวในการควบคุมภายใน เกี่ยวกับการละเมิดในปี 2020 ที่บริษัท และที่ผู้พิพากษา โจ ซัลลิแวน อดีต CISO ของ Uber ถูกตัดสินจำคุก การคุมประพฤติเป็นเวลาสามปีจากการละเมิดในปี 2016 ได้กระตุ้นให้เกิดความกังวลเหล่านั้น แม้ว่าจะมีการถกเถียงกันว่าการดำเนินการต่อผู้บริหารด้านความปลอดภัยในเหตุการณ์เหล่านี้มีความสมเหตุสมผลหรือไม่ แต่หลายคนแย้งว่ามันไม่ยุติธรรมที่จะถือว่าพวกเขาเพียงผู้เดียวรับผิดชอบต่อการละเมิดดังกล่าว

อคติทางประวัติศาสตร์ต่อความปลอดภัยในฐานะฟังก์ชันระดับ C

หนึ่งในเหตุผลที่หลายองค์กรยังไม่รับรู้ว่าบทบาทของ CISO เป็นสมาชิกของกลุ่มผู้บริหารระดับสูงนั้นก็คืออคติทางประวัติศาสตร์ Kakolowski กล่าว “CISO มักจะถูกมองว่าเป็นพวกเทคโนโลยีที่ไม่สามารถพูดภาษาของธุรกิจได้” เขากล่าว พร้อมเสริมว่าพวกเขามักจะเงียบไปเมื่อพูดถึงเรื่องการพัฒนาทักษะ ความพยายามมักมุ่งเน้นไปที่ความสามารถด้านเทคนิคและความเป็นผู้นำในทีม มากกว่าการพัฒนาทักษะของผู้บริหาร

บางส่วนก็เป็นความเฉื่อยเช่นกัน องค์กรขนาดใหญ่และซับซ้อนต้องใช้เวลาในการปรับตัวให้เข้ากับความท้าทายใหม่ๆ และการเปลี่ยนแปลงขององค์กร

“ความท้าทายที่ใหญ่ที่สุดคือการดิ้นรนเพื่อค้นหาความสอดคล้องระหว่าง CISO และ C-suite ที่เหลือ” Kakolowski กล่าว “ผู้นำธุรกิจเริ่มตระหนักถึงความเสี่ยงในการใช้ CISO ต่ำเกินไปในฐานะผู้บริหารธุรกิจ และมีโอกาสสำหรับ CISO ที่จะแสดงให้เห็นถึงความสามารถในการมอบคุณค่าให้กับองค์กรนอกเหนือจากแบ็คออฟฟิศ”

Kakolowski แย้งว่าการยกระดับบทบาทของ CISO ไปสู่ตำแหน่งที่ตนเป็นเจ้าของนั้น ในชุด C จะมีประโยชน์หลายประการ การเป็นส่วนหนึ่งของผู้บริหารระดับสูงช่วยให้ CISO ตระหนักรู้และมองเห็นทิศทางขององค์กรได้ดีขึ้น และช่วยให้พวกเขาสามารถทำงานร่วมกับผู้มีส่วนได้ส่วนเสียอื่นๆ ในการจัดการความเสี่ยงทางดิจิทัลได้ง่ายขึ้น

“มันวางตำแหน่ง CISO ที่จะก้าวนำหน้าความเสี่ยง ซึ่งช่วยลดความขัดแย้งที่อาจเกิดขึ้นเมื่อลดความเสี่ยง” เขากล่าว

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/cybersecurity-operations/cisos-struggle-csuite-status-expectations-skyrocket