ऐसा क्यों लगता है कि सीआईएसओ दोयम दर्जे का है
कार्यकारिणी? क्या सीआईएसओ ऐसे व्यवसाय का शिकार हैं जो "समझ में नहीं आता"? या है
व्यवसाय सीआईएसओ का शिकार है कि "इसे मत लाओ"?
सीआईएसओ की दुर्दशा ठीक है
प्रलेखित. यह एक चुनौतीपूर्ण और कृतघ्न भूमिका हो सकती है
उच्च तनाव और समान रूप से उच्च टर्नओवर दर।
सीआईएसओ अक्सर मानते हैं कि उन्हें नहीं दिया गया है
व्यावसायिक अधिकारियों द्वारा उचित अवसर दिया जाता है और अनिवार्य रूप से ऐसा करने से रोका जाता है
उनकी नौकरी। वे अक्सर महसूस करते हैं कि वे किसी उपयुक्त या वरिष्ठ को रिपोर्ट नहीं करते हैं
पर्याप्त कार्यकारी, बोर्ड टेबल पर पर्याप्त प्रमुख स्थान नहीं,
उन्हें पर्याप्त बजट नहीं दिया जाता है, और सी-सूट अधिकारियों के प्रति सम्मान की कमी है।
ऐसा क्यों है? क्या यही वह व्यवसाय है
अधिकारी:
- इसकी बहुत परवाह मत करो
सुरक्षा? - का पैमाना समझ नहीं आता
समस्या? - सुरक्षा के लिए 'चेकबॉक्स' चाहते हैं?
- जितना कम निवेश करना चाहते हैं
उन्हें लगता है कि वे इससे बच सकते हैं?
इस समस्या की जड़ धारणा है
सीआईएसओ के नेतृत्व में सुरक्षा का मूल्य वापसी। दो प्रमुख बिंदु
वास्तव में सीआईएसओ की धारणा को कमजोर करता है:
- सीआईएसओ की कठिनाई
यह समझाना कि सुरक्षा निवेश और सुरक्षा से 'अच्छा कैसा दिखता है'
परिणाम परिप्रेक्ष्य. मूलतः, क्या कोई दृढ़तापूर्वक सहसंबद्ध संबंध है
सुरक्षा निवेश और जोखिम/प्रभाव नियंत्रण के बीच? - सीआईएसओ मुश्किल से अंदर आया
'तकनीकी और परिचालन सुरक्षा' परिप्रेक्ष्य से पिछली रिपोर्टिंग प्राप्त करना,
जोखिम और प्रभाव परिप्रेक्ष्य को समझने में एक मजबूत और आसान के बजाय।
आम तौर पर आपको यहां सीट नहीं मिलती
केवल बोर्ड स्तर की समस्या देखकर बोर्ड टेबल। आपको बोर्ड में एक सीट मिलती है
बोर्ड स्तर हासिल करने के लिए एक विश्वसनीय रणनीति और व्यवसाय योजना बनाकर तालिका बनाएं
उद्देश्य और बोर्ड स्तर की समस्याओं का समाधान। क्या सीआईएसओ आज प्रभावी ढंग से लाते हैं?
तालिका में बोर्ड स्तरीय सुरक्षा समाधान? या, सीआईएसओ का 'समाधान' कैसे होता है
बजट के लिए प्रतिस्पर्धी अधिकारियों की पिचों के सामने ढेर?
यह तर्क कि सीआईएसओ 'अटक गए' हैं
'गलत' कार्यकारी को रिपोर्ट करना उनके द्वारा प्रदान किए जाने वाले कथित मूल्य का एक कार्य है।
जहां आप रिपोर्ट करते हैं, वहां अक्सर यह पता चलता है कि व्यवसाय को कहां विश्वास है कि आपके पास सबसे अच्छा है
सफलता पाने का मौका. व्यावसायिक अधिकारी सफलता को अधिकतम और न्यूनतम करना चाहते हैं
विफलता।
सुरक्षा की 'सही' मात्रा क्या है?
निवेश? जीवन में अधिकांश चीज़ें (जैसे रात्रि भोजन, छुट्टी या घर ख़रीदना)
लागत और अपेक्षा के बीच संबंध देखना आसान है। इसके साथ काम करता है
व्यवसाय के अधिकांश विभाग (जैसे अनुसंधान एवं विकास, विपणन, बिक्री, कानूनी,
यह)। गुणवत्ता, मात्रा, गति, के बीच एक स्पष्ट संबंध है
और लागत. दुर्भाग्य से, पारंपरिक दृष्टिकोण का उपयोग करते हुए सीआईएसओ के सामने एक चुनौती है
निवेश की राशि से व्यवसाय को क्या मिलता है, इसे जोड़ना। क्या इसके लिए कोई रास्ता है?
एक सीआईएसओ को अन्य विभाग प्रमुखों की तरह मजबूती से जोड़ने के लिए एक योजना प्रदान करनी होगी
किसी सहमत अपेक्षा को प्राप्त करने के लिए गुणवत्ता, मात्रा और गति को मापें
परिणाम?
वास्तविकता यह है कि व्यवसाय
अधिकारी ये करते हैं:
- प्राणों की रक्षा का ध्यान रखें
व्यावसायिक संपत्ति और हित। दरअसल, उनका निजी ब्रांड इस लाइन पर है
साइबर हमले के बाद व्यावसायिक अधिकारी सीधे तौर पर निशाने पर आ रहे हैं
भंग। - के पैमाने को समझें
समस्या है, और वे इसके बारे में भयभीत हैं। दरअसल, उनमें आत्मविश्वास कम है
सार्वजनिक उल्लंघन आसन्न नहीं है, और वे परिणाम देखते हैं। - विश्वसनीय साइबर लचीलापन विकल्प चाहते हैं,
लेकिन वे उन्हें सीआईएसओ से प्राप्त नहीं कर रहे हैं। यह व्यवसायिक अधिकारियों को अंदर डालता है
एक सीवाईए के रूप में सबसे आम मूर्त विकल्प का निर्माण करने के लिए उन्हें बांधना और मोड़ना,
जो आमतौर पर एक सुरक्षा ढांचे का अनुपालन है। इसे आसानी से समझा जा सकता है
सीआईएसओ केवल 'सुरक्षा के लिए चेकबॉक्स' चाहता है - खर्च करना एक प्रत्ययी कर्तव्य है
समझदारी से। निवेश के मामले में अधिकारी "यदि ऐसा करते हैं तो अभिशप्त हैं, और यदि ऐसा नहीं करते हैं तो अभिशप्त हैं"।
सुरक्षा में. क्योंकि CISO विश्वसनीय सुरक्षा निवेश नहीं लाता है
विकल्प, न ही उचित परिणाम, बल्कि व्यवसाय की रक्षा की स्पष्ट आवश्यकता
सुरक्षा उल्लंघन से हित, वे अवसर-लागत कैच-22 में फंस गए हैं।
यदि कोई सीआईएसओ व्यावहारिक रूप से समाधान नहीं कर सकता है
बोर्ड स्तर की सुरक्षा समस्याएँ; यदि वे लागत बनाम सहमति स्थापित नहीं कर सकते
परिणामों की अपेक्षा करें, और एक विश्वसनीय व्यवसाय योजना प्रदान करें, तो ऐसा प्रतीत होता है
इस बात का ध्यान रखें कि वे बोर्ड स्तर पर पंचिंग नहीं कर रहे हैं।
क्योंकि यह स्पष्ट है कि सुरक्षा एक है
बोर्ड स्तर की समस्या, और सीआईएसओ बोर्ड स्तर का समाधान नहीं ला रहा है
उचित परिणाम सीआईएसओ और सीमित अधिकार और दायरे के लिए एक कठिन जीवन है।
दुर्भाग्य से, गिरावट का कारण कमजोर मनोबल और नियुक्ति एवं प्रतिधारण है
चुनौतियाँ जो सीआईएसओ की धारणा और निष्पादन समस्या को बढ़ाती हैं।
RSI
सबसे अच्छी बात जो बोर्ड कर सकते हैं वह साइबर सुरक्षा जोखिमों का प्रबंधन करना है जैसा कि वे किसी अन्य में करते हैं
व्यापार जोखिम। प्रभावी होने के लिए, व्यवसाय के बीच कामकाजी संबंध होना चाहिए
अधिकारी और सीआईएसओ, जहां सीआईएसओ ने लक्ष्यों, रणनीति को संरेखित किया है जो संचालित होती है
साइबर लचीलापन विकल्प, एक व्यवसाय योजना जो नेतृत्व को स्पष्ट जोखिम देती है
भूख विकल्प, और एक कार्यान्वयन योजना जो परिणाम देती है।
डगलस फर्ग्यूसन, फ़ारोस सिक्योरिटी के संस्थापक और सीटीओ
