CISOs C-Suite کی حیثیت کے لیے جدوجہد کر رہے ہیں یہاں تک کہ توقعات آسمان کو چھو رہی ہیں۔

CISOs سے تیزی سے کہا جا رہا ہے کہ وہ ذمہ داریاں سنبھالیں جسے عام طور پر C-suite کا کردار سمجھا جائے گا، لیکن بہت سی تنظیموں میں اس طرح کا خیال یا برتاؤ کیے بغیر، 663 سیکیورٹی ایگزیکٹوز کے ایک نئے سروے میں دکھایا گیا ہے۔

یہ سروے IANS نے Artico Search کے تعاون سے کیا تھا، اور CISOs سے ان کی ملازمتوں، ان کی ذمہ داریوں، انتظامی معاونت اور دیگر موضوعات سے متعلق مختلف مسائل پر رائے شماری کی تھی۔

ان میں سے ایک مکمل 75 فیصد نے کہا کہ وہ ملازمت میں تبدیلی کی تلاش میں ہیں۔

CISO کے کردار کے لیے توقعات بدل گئی ہیں۔

جوابات سے پتہ چلتا ہے کہ CISO کے کردار کی توقعات میں عوامی اور نجی شعبے کی تنظیموں میں ڈرامائی طور پر تبدیلی آئی ہے کیونکہ، دیگر چیزوں کے علاوہ، ریگولیٹرز کی جانب سے جانچ میں اضافہ، اور سیکورٹی کی خلاف ورزیوں کے لیے جوابدہی کے بڑھتے ہوئے مطالبات۔

مثال کے طور پر، the سروے کی رپورٹ کی طرف سے اپنائے گئے قوانین کی طرف اشارہ کیا سیکورٹیز اینڈ ایکسچینج کمیشن (SEC) گزشتہ جولائی میں جو کہ عوامی طور پر تجارت کرنے والی کمپنیوں کو واقعے کے چار دنوں کے اندر تمام مادی حفاظتی واقعات کی اطلاع دینے کا تقاضا کرتا ہے۔ ایک اور مثال نیویارک اسٹیٹ ڈیپارٹمنٹ آف فنانشل سروسز (NYDFS) جاری کرنا ہے۔ سائبر سیکیورٹی کے نئے تقاضے مالیاتی خدمات کی کمپنیوں کے لیے۔

IANS اور Artico کی رپورٹ میں کہا گیا ہے کہ "ریگولیٹرز اب CISOs کو اپنی تنظیموں کی جانب سے شفافیت اور یہاں تک کہ دھوکہ دہی کے لیے جوابدہ ٹھہراتے ہیں۔" ایک بڑھتی ہوئی توقع ہے کہ CISO بنیادی طور پر ایک کاروباری رسک مینجمنٹ فنکشن کے طور پر کام کرے گا، جس میں ایگزیکٹو لیڈر شپ میٹنگز میں واضح آواز اور CEO اور C-suite کے ساتھ براہ راست بات چیت ہوگی۔ پھر بھی، "کردار کی توقعات کو C-لیول تک بلند کرنے کے باوجود، CISOs کو اس طرح کے طور پر دیکھا جانے کی جدوجہد ہوتی ہے، اور CISO کا کردار اکثر سینئر لیڈرشپ ٹیم کا حصہ نہیں ہوتا ہے۔"

سروے نے مثال کے طور پر ظاہر کیا کہ جب کہ 63% سے زیادہ CISOs کے پاس نائب صدر یا ڈائریکٹر سطح کا عہدہ ہے، صرف 20% اپنے عنوان میں "چیف" ہونے کے باوجود C-suite سطح پر ہیں۔ 1 بلین ڈالر سے زیادہ کی آمدنی والی تنظیموں کے معاملے میں، یہ تعداد 15 فیصد سے بھی کم ہے۔ رپورٹنگ کے نقطہ نظر سے، پریشان کن 90% CISOs کو CEO اور C-suite سے کم از کم دو یا زیادہ تنظیمی سطحوں کو ہٹا دیا گیا ہے۔ صرف 50% سہ ماہی بنیادوں پر اپنی کمپنی کے بورڈ کے ساتھ مشغول ہوتے ہیں۔ ایک چوتھائی سال میں صرف ایک یا دو بار بورڈ کے ساتھ مشغول ہوتے ہیں، 12% بورڈ سے مکمل طور پر ایڈہاک بنیادوں پر ملاقات کرتے ہیں، اور 13% رپورٹ بورڈ سے بالکل بھی رابطہ نہیں رکھتے۔

CISO ذمہ داری کے لیے رہنمائی کا فقدان

بہت سی صورتوں میں، CISOs جو اپنے بورڈ سے خطرے کی واضح رہنمائی چاہتے ہیں، وہ حاصل نہیں کرتے۔ بمشکل ایک تہائی سے زیادہ (36%) نے اپنے بورڈ کو بیان کیا کہ وہ اپنی تنظیم کے خطرے کو برداشت کرنے کی سطح کے بارے میں کافی واضح بصیرت پیش کرتے ہیں جس پر وہ عمل کر سکتے ہیں۔

آئی اے این ایس کے ریسرچ ڈائریکٹر نک کاکولوسکی کہتے ہیں، "گزشتہ چند سالوں میں CISO کے کردار کے ارتقاء میں ڈرامائی طور پر تیزی آئی ہے۔" وہ کہتے ہیں کہ تنظیموں کے اپنے زیادہ سے زیادہ کاموں کو ڈیجیٹائز کرنے کے ساتھ، CISOs زیادہ ذمہ داریاں لے رہے ہیں اور ڈیجیٹل رسک کے اصل مالک بن گئے ہیں۔ "[لیکن] تنظیموں نے یہ نہیں سوچا ہے کہ کردار کا دائرہ بڑھنے کے ساتھ ساتھ انہیں کس طرح سپورٹ اور بااختیار بنایا جائے۔"

حالیہ برسوں میں CISO کمیونٹی کے اندر اس کردار کے ارد گرد بڑھتی ہوئی توقعات کے بارے میں خدشات بڑھ رہے ہیں، یہاں تک کہ ان توقعات کو پورا کرنے کی ان کی صلاحیت میں بڑی حد تک کوئی تبدیلی نہیں ہوئی ہے۔ پچھلے اکتوبر جیسے واقعات جہاں SEC نے SolarWinds CISO Tim Brown پر الزام لگایا دھوکہ دہی اور اندرونی کنٹرول کی ناکامی۔ کمپنی میں 2020 کی خلاف ورزی، اور جہاں ایک جج سابق Uber CISO جو سلیوان کو سزا سنائی گئی۔ 2016 کی خلاف ورزی پر تین سال کے پروبیشن نے ان خدشات کو ہوا دی ہے۔ اگرچہ اس بارے میں کچھ بحث ہو رہی ہے کہ آیا ان واقعات میں سیکورٹی ایگزیکٹیو کے خلاف کارروائیاں جائز تھیں، بہت سے لوگوں نے دلیل دی ہے کہ خلاف ورزیوں کے لیے انہیں اکیلے جوابدہ ٹھہرانا غیر منصفانہ ہے۔

سی لیول فنکشن کے طور پر سیکورٹی کے خلاف تاریخی تعصب

کاکولوسکی کا کہنا ہے کہ بہت سی تنظیموں کو اب بھی CISOs کے کردار کو C-suite میں شامل نہ سمجھنے کی ایک وجہ تاریخی تعصب ہے۔ "CISOs کو سمجھا جاتا ہے - اکثر غیر منصفانہ طور پر - تکنیکی ماہرین کے طور پر جو کاروبار کی زبان نہیں بول سکتے،" وہ کہتے ہیں، انہوں نے مزید کہا کہ جب مہارت کی ترقی کی بات آتی ہے تو وہ اکثر خاموش ہوجاتے ہیں۔ وہاں کی کوششیں اکثر انتظامی مہارتوں کی ترقی کے بجائے تکنیکی صلاحیتوں اور ٹیم کی قیادت پر مرکوز ہوتی ہیں۔

اس میں سے کچھ جڑتا بھی ہے۔ بڑی، پیچیدہ تنظیمیں نئے چیلنجوں اور تنظیمی تبدیلیوں کو ایڈجسٹ کرنے میں وقت لگاتی ہیں۔

کاکولوسکی کا کہنا ہے کہ "سب سے بڑا چیلنج CISOs اور باقی C-suite کے درمیان صف بندی تلاش کرنے کی جدوجہد ہے۔" "کاروباری رہنما CISOs کو بطور بزنس ایگزیکٹیو کم استعمال کرنے کے خطرے سے آگاہ ہونا شروع ہو گئے ہیں، اور CISOs کے لیے ایک موقع ہے کہ وہ بیک آفس سے باہر تنظیم کو قدر کی پیشکش کرنے کی اپنی صلاحیت کا مظاہرہ کریں۔"

کاکولوسکی کا استدلال ہے کہ CISO کے کردار کو جہاں سے تعلق ہے، C-suite میں، بہت سے فوائد حاصل کر سکتے ہیں۔ اعلیٰ نظم و نسق کا حصہ بننا CISO کو بہتر آگاہی اور مرئیت فراہم کرتا ہے کہ تنظیم کہاں جا رہی ہے، اور ان کے لیے ڈیجیٹل رسک مینجمنٹ پر دوسرے اسٹیک ہولڈرز کے ساتھ تعاون کرنا آسان بناتا ہے۔

"یہ CISO کو خطرے سے آگے نکلنے کی پوزیشن میں رکھتا ہے، اس طرح خطرات کو کم کرتے وقت آنے والے رگڑ کو کم کرتا ہے،" وہ نوٹ کرتا ہے۔

• SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
• پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
• پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
• پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
• پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
• ماخذ: https://www.darkreading.com/cybersecurity-operations/cisos-struggle-csuite-status-expectations-skyrocket