CISO đấu tranh để giành được vị thế C-Suite ngay cả khi kỳ vọng tăng vọt

Một cuộc khảo sát mới với 663 giám đốc điều hành bảo mật đã cho thấy các CISO ngày càng được yêu cầu đảm nhận những trách nhiệm về những gì thường được coi là vai trò của C-Suite, nhưng lại không được coi hoặc đối xử như vậy ở nhiều tổ chức.

Cuộc khảo sát do IANS phối hợp với Artico Search thực hiện và thăm dò ý kiến ​​của các CISO về nhiều vấn đề liên quan đến công việc, trách nhiệm, hỗ trợ quản lý và các chủ đề khác của họ.

75% trong số họ cho biết họ đang tìm kiếm sự thay đổi công việc.

Kỳ vọng về vai trò CISO đã thay đổi

Các câu trả lời cho thấy kỳ vọng về vai trò CISO đã thay đổi đáng kể tại các tổ chức thuộc khu vực công và tư nhân bởi vì, cùng với những lý do khác, sự giám sát ngày càng tăng từ các cơ quan quản lý và nhu cầu ngày càng tăng về trách nhiệm giải trình đối với các vi phạm an ninh.

Ví dụ, báo cáo khảo sát chỉ ra các quy tắc giống như những quy tắc được thông qua bởi Ủy ban chứng khoán (SEC) vào tháng 7 năm ngoái yêu cầu các công ty giao dịch đại chúng phải báo cáo tất cả các sự cố an ninh quan trọng trong vòng bốn ngày kể từ khi sự cố xảy ra. Một ví dụ khác là Bộ Dịch vụ Tài chính Tiểu bang New York (NYDFS) ban hành yêu cầu an ninh mạng mới cho các công ty dịch vụ tài chính.

Báo cáo của IANS và Artico cho biết: “Các cơ quan quản lý hiện yêu cầu CISO chịu trách nhiệm về tính minh bạch và thậm chí là gian lận thay mặt cho tổ chức của họ”. Ngày càng có nhiều kỳ vọng rằng CISO sẽ chủ yếu đóng vai trò là chức năng quản lý rủi ro kinh doanh, có tiếng nói rõ ràng tại các cuộc họp lãnh đạo điều hành và đường dây liên lạc trực tiếp với CEO và C-Suite. Tuy nhiên, “bất chấp những kỳ vọng về vai trò được nâng lên Cấp độ C, CISO vẫn gặp khó khăn để được coi là như vậy và vai trò CISO thường không nằm trong đội ngũ lãnh đạo cấp cao”.

Ví dụ, cuộc khảo sát cho thấy rằng trong khi hơn 63% CISO có vị trí phó chủ tịch hoặc cấp giám đốc, thì chỉ có 20% ở cấp C-Suite mặc dù có chức danh “trưởng phòng”. Trong trường hợp các tổ chức có doanh thu hơn 1 tỷ USD, con số đó thậm chí còn nhỏ hơn, ở mức 15%. Từ quan điểm báo cáo, 90% CISO đáng lo ngại đã bị loại bỏ ít nhất hai cấp tổ chức trở lên khỏi CEO và C-Suite. Chỉ 50% tham gia với hội đồng quản trị của công ty họ hàng quý. Một phần tư tham gia với hội đồng quản trị chỉ một hoặc hai lần mỗi năm, 12% gặp hội đồng quản trị chỉ trên cơ sở đặc biệt và 13% cho biết họ không hề liên hệ với hội đồng quản trị.

Thiếu hướng dẫn về trách nhiệm của CISO

Trong nhiều trường hợp, các CISO muốn có hướng dẫn rõ ràng về rủi ro từ hội đồng quản trị của họ nhưng lại không hiểu được. Chỉ hơn một phần ba (36%) mô tả hội đồng quản trị của họ đã cung cấp cho họ cái nhìn sâu sắc đủ rõ ràng về mức độ chấp nhận rủi ro của tổ chức để họ hành động.

Nick Kakolowski, giám đốc nghiên cứu tại IANS cho biết: “Sự phát triển của vai trò CISO trong vài năm qua đã tăng tốc đáng kể”. Ông nói, với việc các tổ chức số hóa nhiều hoạt động của mình hơn, các CISO đang đảm nhận nhiều trách nhiệm hơn và trên thực tế đã trở thành chủ sở hữu của rủi ro kỹ thuật số. “[Nhưng] các tổ chức vẫn chưa tìm ra cách hỗ trợ và trao quyền cho họ khi phạm vi vai trò ngày càng tăng.”

Những mối lo ngại ngày càng gia tăng trong cộng đồng CISO trong những năm gần đây về những kỳ vọng ngày càng tăng xung quanh vai trò này, ngay cả khi khả năng đáp ứng những kỳ vọng đó của họ hầu như không thay đổi. Các sự cố như tháng 10 năm ngoái khi SEC buộc tội SolarWinds CISO Tim Brown gian lận và sai sót trong kiểm soát nội bộ về vi phạm năm 2020 tại công ty và nơi một thẩm phán cựu CISO của Uber, Joe Sullivan bị kết án ba năm quản chế vì vi phạm năm 2016, đã làm dấy lên những lo ngại đó. Trong khi có một số tranh luận về việc liệu các hành động chống lại các giám đốc điều hành an ninh trong những vụ việc này có hợp lý hay không, nhiều người đã lập luận rằng thật không công bằng khi buộc họ phải chịu trách nhiệm một mình về những vi phạm.

Xu hướng lịch sử chống lại an ninh như một chức năng cấp độ C

Kakolowski nói: Một trong những lý do khiến nhiều tổ chức vẫn không coi vai trò của CISO là thuộc về C-Suite là thành kiến ​​​​lịch sử. “CISO có xu hướng bị coi - thường không công bằng - là những kỹ thuật viên không thể nói được ngôn ngữ của doanh nghiệp,” ông nói và nói thêm rằng họ thường có xu hướng im lặng khi nói đến phát triển kỹ năng. Những nỗ lực ở đó thường có xu hướng tập trung vào khả năng kỹ thuật và lãnh đạo nhóm hơn là phát triển kỹ năng điều hành.

Một số trong đó cũng là quán tính. Các tổ chức lớn, phức tạp cần có thời gian để thích nghi với những thách thức mới và những thay đổi về tổ chức.

Kakolowski nói: “Thách thức lớn nhất là cuộc đấu tranh để tìm ra sự liên kết giữa CISO và phần còn lại của C-Suite”. “Các nhà lãnh đạo doanh nghiệp đang bắt đầu nhận thức được nguy cơ sử dụng không đúng mức CISO với tư cách là giám đốc điều hành kinh doanh và có cơ hội để các CISO thể hiện khả năng của họ trong việc mang lại giá trị cho tổ chức ngoài văn phòng hỗ trợ.”

Kakolowski lập luận rằng việc nâng cao vai trò của CISO lên đúng vị trí của nó trong C-Suite có thể mang lại nhiều lợi ích. Việc trở thành một phần của ban quản lý cấp cao giúp CISO nhận thức và nhìn rõ hơn về nơi tổ chức sẽ hướng tới, đồng thời giúp họ cộng tác với các bên liên quan khác về quản lý rủi ro kỹ thuật số dễ dàng hơn.

Ông lưu ý: “Nó giúp CISO vượt lên trước rủi ro, từ đó giảm bớt xung đột có thể xảy ra khi giảm thiểu rủi ro”.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/cybersecurity-operations/cisos-struggle-csuite-status-expectations-skyrocket