لماذا يبدو أن CISO من الدرجة الثانية
تنفيذي؟ هل CISO ضحية عمل "لا يحصل عليه"؟ أم هو
العمل ضحية CISOs التي "لا تجلبها"؟
محنة CISO جيدة
موثقة. يمكن أن يكون دورًا صعبًا وشكرًا مصحوبًا
ضغوط عالية ومعدل دوران مرتفع بنفس القدر.
غالبًا ما تعتقد CISOs أنها لا تُعطى
فرصة عادلة من قبل المسؤولين التنفيذيين في الأعمال التجارية ومعرقلة بشكل أساسي من القيام بذلك
وظيفتهم. وكثيرا ما يشعرون أنهم لا يقدمون التقارير إلى مناسب أو كبير
تنفيذي كافٍ ، ليس لديك منصب بارز بما فيه الكفاية على طاولة المجلس ،
لا تعطى ميزانية كافية ، وتفتقر إلى احترام المديرين التنفيذيين C-Suite.
لماذا هذا؟ هل هذا هو العمل
المديرين:
- لا تهتم بما فيه الكفاية
الأمان؟ - لا أفهم حجم
المشكلة؟ - هل تريد "مربع اختيار" للأمان؟
- تريد أن تستثمر أقل من
يشعرون أنه يمكنهم الفرار؟
جوهر هذه المشكلة هو إدراك
عودة قيمة الأمن تحت قيادة CISO. نقطتان رئيسيتان
يقوض حقا تصور CISO:
- صعوبة CISO في
إقناع ما "تبدو جيدة" من الاستثمار الأمني ، والأمن
منظور النتائج. في الأساس ، هل هناك علاقة وثيقة الارتباط
بين الاستثمار الأمني والسيطرة على المخاطر / الآثار؟ - يصعب على CISO الدخول
الحصول على التقارير السابقة من منظور "الأمن التقني والتشغيلي" ،
بدلاً من منظور المخاطر والتأثير القوي والسهل الفهم.
عموما ، لا تحصل على مقعد في
طاولة المجلس بمجرد رؤية مشكلة مستوى المجلس. تحصل على مقعد في المجلس
الجدول من خلال وجود استراتيجية موثوقة وخطة عمل لتحقيق مستوى المجلس
الأهداف وحل مشاكل مستوى المجلس. هل تجلب CISO اليوم بشكل فعال
حل أمني على مستوى المجلس على الطاولة؟ أو كيف "حل" CISO
تتراكم ضد تنافس المديرين التنفيذيين المتنافسين على الميزانية؟
الحجة القائلة بأن CISOs "عالقة"
يعد تقديم التقارير إلى السلطة التنفيذية "الخاطئة" دالة على القيمة المتصورة التي تقدمها.
غالبًا ما تتحدث الأماكن التي تبلغ عنها عن المكان الذي تعتقد فيه الشركة أن لديك الأفضل
فرصة للنجاح. يريد رجال الأعمال التنفيذيين تحقيق أقصى قدر من النجاح والتقليل
بالفشل.
ما هو مقدار "الأمن" الصحيح
الاستثمار؟ معظم الأشياء في الحياة (مثل شراء عشاء أو إجازة أو منزل)
من السهل رؤية العلاقة بين التكلفة والتوقع. يعمل هذا مع
معظم الإدارات في مجال الأعمال أيضًا (مثل البحث والتطوير والتسويق والمبيعات والقانونية ،
تكنولوجيا المعلومات). هناك علاقة واضحة بشكل معقول بين الجودة والكمية والوتيرة ،
والتكلفة. لسوء الحظ ، فإن استخدام الطرق التقليدية لـ CISO يواجه تحديًا
ربط ما يحصل عليه العمل من مبلغ الاستثمار. هل هناك طريقة ل
CISO لتوفير خطة ، مثل رؤساء الأقسام الأخرى ، لربط و
قياس الجودة والكمية والوتيرة لتحقيق توقعات متفق عليها
النتائج؟
الحقيقة هي تلك الأعمال
يفعل التنفيذيون:
- الاهتمام بحماية الحيوية
الأصول والمصالح التجارية. في الواقع ، العلامة التجارية الشخصية على الخط مثل
يتعرض رجال الأعمال لإطلاق نار مباشر في أعقاب الإنترنت
خرق. - فهم مقياس
مشكلة ، وهم خائفون من ذلك. في الواقع ، لديهم ثقة قليلة
أن خرق الجمهور ليس وشيكًا ، وهم يرون العواقب. - هل تريد خيارات مرونة إلكترونية موثوقة ،
لكنهم لا يتلقونها من CISO. هذا يضع مديري الأعمال في
ربط الزوايا في إنتاج الخيار الملموس الأكثر شيوعًا مثل CYA ،
وهو عادة الامتثال لإطار الأمان. يتم إدراك ذلك بسهولة من قبل
أن CISO تريد فقط "مربع اختيار للأمان" - لديهم واجب ائتماني لإنفاقه
بحكمة. التنفيذيون "ملعونون إن فعلوا ، وملعونون إن لم يفعلوا" بالاستثمار
انعدام الأمن. لأن CISO لا تجلب استثمارات أمنية موثوقة
خيارات ، ولا نتائج مبررة ، ولكن الحاجة الواضحة لحماية الأعمال
الفوائد من خرق الأمن ، يتم القبض عليهم في Catch-22 تكلفة الفرصة.
إذا لم تتمكن CISO من حلها بشكل عملي
مشاكل أمنية على مستوى المجلس ؛ إذا لم يتمكنوا من تحديد التكاليف مقابل المتفق عليها
توقع النتائج ، وتقديم خطة عمل موثوقة ، ثم يبدو
اتبع أنهم لا يلكمون على مستوى المجلس.
لأنه من الواضح أن الأمن هو
مشكلة في مستوى اللوحة ، ولا تقدم CISO حلولًا على مستوى اللوحة
النتيجة المعقولة هي حياة صعبة ل CISO والسلطة والنطاق المحدودين.
لسوء الحظ ، فإن النزول إلى أسفل هو معنويات سيئة والتوظيف والاحتفاظ
التحديات التي تفاقم مشكلة التصور والتنفيذ من CISO.
•
أفضل شيء يمكن أن تفعله المجالس هو إدارة مخاطر الأمن السيبراني مثلما تفعل أي شيء آخر
مخاطر العمل. لتكون فعالة ، يجب أن تكون هناك علاقة عمل بين الأعمال
المديرين التنفيذيين و CISO ، حيث قامت CISO بمحاذاة الأهداف والاستراتيجية التي تدفع
خيارات المرونة السيبرانية ، وهي خطة عمل تمنح القيادة مخاطر واضحة
خيارات الشهية ، وخطة التنفيذ التي تحقق النتائج.
دوجلاس فيرغسون ، مؤسس شركة Pharos Security و CTO
