一项针对 663 名安全高管的新调查显示,越来越多的 CISO 被要求承担通常被视为最高管理层角色的职责,但在许多组织中却没有被视为或对待。
该调查由 IANS 与 Artico Search 合作进行,就与 CISO 的工作、职责、管理支持和其他主题相关的各种问题进行了民意调查。
整整 75% 的人表示他们正在寻找工作变动。
对 CISO 角色的期望发生了变化
调查结果显示,公共和私营部门组织对 CISO 角色的期望发生了巨大变化,原因之一是监管机构加强了审查,以及对安全漏洞问责的要求不断提高。
例如, 调查报告 指出了类似的规则 美国证券交易委员会 (SEC) 去年 7 月要求上市公司在事件发生后四天内报告所有重大安全事件。另一个例子是纽约州金融服务部 (NYDFS) 发布 新的网络安全要求 对于金融服务公司。
IANS 和 Artico 的报告称:“监管机构现在要求 CISO 代表其组织对透明度甚至欺诈行为负责。”人们越来越期望 CISO 主要充当业务风险管理职能,在高管领导会议上拥有清晰的发言权,并与首席执行官和最高管理层进行直接沟通。然而,“尽管 CISO 的角色期望被提升到 C 级,但他们很难被视为 C 级,而且 CISO 的角色通常不属于高级领导团队。”
例如,调查显示,虽然超过 63% 的 CISO 担任副总裁或总监级别职位,但只有 20% 的 CISO 担任最高级别高管,尽管他们的头衔是“首席”。对于收入超过 1 亿美元的组织来说,这个数字甚至更小,为 15%。从报告的角度来看,令人不安的是,90% 的 CISO 至少从首席执行官和最高管理层中撤出了两个或更多组织级别。只有 50% 的人每季度与公司董事会接触一次。四分之一的人每年只与董事会接触一到两次,12% 的人纯粹临时与董事会会面,13% 的人表示根本没有与董事会接触。
缺乏 CISO 责任指导
在许多情况下,希望董事会提供明确风险指导的 CISO 却无法得到。略超过三分之一 (36%) 的受访者表示,他们的董事会为他们提供了足够清晰的洞察,让他们了解组织的风险承受水平,以便他们采取行动。
IANS 研究总监 Nick Kakolowski 表示:“过去几年,CISO 角色的演变急剧加速。”他表示,随着组织更多地实现运营数字化,首席信息安全官正在承担更多责任,并成为数字风险事实上的所有者。 “[但是]随着角色范围的扩大,组织还没有弄清楚如何支持和授权他们。”
近年来,CISO 社区内部对该角色的期望不断升级,这一担忧与日俱增,尽管他们满足这些期望的能力基本保持不变。去年 10 月,美国证券交易委员会 (SEC) 对 SolarWinds 首席信息安全官 Tim Brown 提出指控 欺诈和内部控制失败 关于该公司 2020 年的违规行为,以及法官 Uber 前 CISO Joe Sullivan 被判刑 因 2016 年的违规行为而被判处三年缓刑,加剧了这些担忧。尽管对于这些事件中针对安全高管的行为是否合理存在一些争论,但许多人认为,让他们单独对这些违规行为负责是不公平的。
历史上对安全作为 C 级职能的偏见
Kakolowski 表示,许多组织仍然不认为 CISO 的角色属于最高管理层,原因之一是历史偏见。他表示:“CISO 往往被认为是不会讲业务语言的技术人员,这往往是不公平的。”他补充说,在技能发展方面,他们往往会陷入孤立。那里的努力往往侧重于技术能力和团队领导力,而不是管理技能的发展。
其中一些也是惯性。大型、复杂的组织需要时间来适应新的挑战和组织转变。
“最大的挑战是如何在 CISO 和其他高管之间找到一致,”Kakolowski 说。 “企业领导者开始意识到未充分利用 CISO 作为企业高管的风险,并且 CISO 有机会展示他们为后台以外的组织提供价值的能力。”
Kakolowski 认为,将 CISO 的角色提升到其所属的最高管理层,可以带来很多好处。作为高层管理人员的一员,CISO 可以更好地了解和了解组织的发展方向,并更轻松地与其他利益相关者就数字风险管理进行协作。
“它使 CISO 能够领先于风险,从而减少在降低风险时可能出现的摩擦,”他指出。
- :具有
- :是
- :不是
- :在哪里
- 的美元1亿元
- 15%
- 2016
- 2020
- a
- 对,能力--
- 关于
- 加速
- 问责制
- 问责
- 法案
- 行动
- Ad
- 添加
- 调整
- 采用
- 驳
- 向前
- 对准
- 所有类型
- 单
- 还
- 其中
- an
- 和
- 另一个
- 保健
- 争论
- 主张
- 围绕
- AS
- 承担
- At
- 察觉
- 意识
- 背部
- 基础
- BE
- 因为
- 成为
- 很
- 开始
- 代表
- 作为
- 属于
- 属于
- 好处
- 更好
- 之间
- 超越
- 偏见
- 最大
- 亿
- 板
- 违反
- 违规
- 棕色
- 商业
- 商业领袖
- 但是
- by
- C-套房
- CAN
- 能力
- 案件
- CEO
- 挑战
- 挑战
- 更改
- 变
- 带电
- 首席
- CISO
- 清除
- 合作
- 合作
- 如何
- 购买的订单均
- 沟通
- 社体的一部分
- 公司
- 公司
- 复杂
- 关注
- 进行
- 考虑
- CONTACT
- 控制
- 网络安全
- 一年中的
- de
- 辩论
- 需求
- 演示
- 问题类型
- 描述
- 尽管
- 研发支持
- 数字
- 数字化
- 直接
- 副总经理
- 不
- 显着
- 更容易
- 工作的影响。
- 提高的
- 授权
- 从事
- 更多
- 醚(ETH)
- 甚至
- 进化
- 例子
- 交换
- 执行
- 管理人员
- 期望
- 期望
- 少数
- 想通
- 金融
- 金融服务
- 找到最适合您的地方
- 专注焦点
- 针对
- 前
- 四
- 骗局
- 频繁
- 摩擦
- 止
- 推动
- ,
- 功能
- 得到
- 给
- 去
- 成长
- 成长
- 指导
- 事件
- 有
- 避风港
- 有
- he
- 历史的
- 举行
- 创新中心
- How To
- HTTPS
- in
- 事件
- 事故
- 增加
- 日益
- 惯性
- 洞察
- 实例
- 内部
- 成
- 问题
- 发行
- IT
- 工作
- 工作机会
- 乔
- JPG
- 法官
- 七月
- 只是
- 合理的
- 缺乏
- 语言
- 大
- 在很大程度上
- (姓氏)
- 领导人
- 领导团队
- 最少
- Level
- 各级
- 喜欢
- Line
- 寻找
- 制作
- 颠覆性技术
- 许多
- 材料
- 可能..
- 满足
- 会议
- 缓解
- 降低风险
- 更多
- 全新
- 纽约
- 纽约州
- 纽约州金融服务部
- 缺口
- 没有
- 通常
- 现在
- 数
- NY
- NYDFS
- 十月
- of
- 提供
- 提供
- 办公
- 经常
- on
- 一旦
- 一
- 三分之一
- 仅由
- 运营
- ZAP优势
- or
- 组织
- 组织
- 组织
- 其他名称
- 输出
- 超过
- 业主
- 部分
- 过去
- 为
- 感知
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 位置
- 职位
- 总统
- 主要
- 私立
- 私营部门
- 国家
- 公然
- 纯粹
- 季
- 季刊
- 宁
- 原因
- 最近
- 减少
- 视
- 稳压器
- 有关
- 保持
- 去除
- 报告
- 报告
- 要求
- 研究
- 回复
- 责任
- REST的
- 收入
- 风险
- 风险
- 角色
- 定位、竞价/采购和分析/优化数字媒体采购,但算法只不过是解决问题的操作和规则。
- s
- 说
- 说
- 范围
- 审查
- 搜索
- 证券交易委员会
- 扇形
- 保安
- 安全漏洞
- 前辈
- 高层领导
- 服务
- 特色服务
- 转移
- 显示
- 如图
- 孤立的
- 技能
- 平步青云
- 小
- SolarWinds的
- 一些
- 说话
- 利益相关者
- 立场
- 州/领地
- 国务院
- Status
- 仍
- 奋斗
- 这样
- SUPPORT
- 调查
- T
- 采取
- 服用
- 团队
- 文案
- 易于
- 比
- 这
- 其
- 他们
- 那里。
- 从而
- 博曼
- 他们
- 事
- 那些
- 三
- Tim
- 次
- 标题
- 至
- 公差
- 最佳
- Topics
- 交易
- 用户评论透明
- 治疗
- 烦人的
- 两次
- 二
- 尤伯杯
- 不公平
- 上
- 折扣值
- 各种
- 副
- 副总裁
- 查看
- 能见度
- 音色
- 想
- 是
- 为
- 什么是
- ,尤其是
- 是否
- 而
- WHO
- 为什么
- 将
- 中
- 也完全不需要
- 将
- 年
- 年
- 但
- 纽约
- 和风网