ゼファーネットのロゴ

生成的データ インテリジェンス

サイバーセキュリティ

CISOは二流の幹部ですか?

プラトン再発行
プラトン再発行

日付:

閲覧数: 689

CISOがセカンドクラスであるように見えるのはなぜですか
エグゼクティブ? CISOは「手に入れられない」ビジネスの犠牲者ですか? または
「それを持っていない」CISOの被害者のビジネスですか?

CISOの窮状は順調です
文書化。 それに伴う挑戦的で感謝のない役割になることができます
高ストレスと同様に高い離職率。

CISOは、彼らが与えられていないとしばしば信じている
経営者による公正なチャンスであり、本質的に
彼らの仕事。 彼らは適切なまたは先輩に報告しないことを頻繁に感じます
十分な幹部、ボードテーブルで目立つ十分なポジションを持っていない、
十分な予算が与えられておらず、C-Suite幹部への敬意が欠けている。

どうしてこれなの? それはそのビジネスですか
役員:

  • 気にしないで
    セキュリティ?
  • 規模がわかりません
    問題?
  • セキュリティのための「チェックボックス」が必要ですか?
  • 少しだけ投資したい
    彼らは逃げることができると感じていますか?

この問題の核心は知覚された
CISOのリーダーシップのもとでのセキュリティの価値のリターン。 XNUMXつのポイント
CISOの認識を本当に損なう:

  1. CISOの難しさ
    セキュリティへの投資とセキュリティから「見た目が良い」と納得させる
    結果の観点。 基本的に、強い相関関係がありますか
    セキュリティ投資とリスク/影響制御の間
  2. CISOは難しい
    「技術的および運用上のセキュリティ」の観点から過去のレポートを取得し、
    堅牢で理解しやすいリスクと影響の観点ではありません。

一般的に、あなたは席に着きません
ボードレベルの問題を確認するだけで、ボードテーブルを作成できます。 ボードに着席します
取締役会レベルを達成するための信頼できる戦略と事業計画を持つことによってテーブル
目標とボードレベルの問題を解決します。 今日、CISOは効果的に
テーブルに対するボードレベルのセキュリティソリューション または、CISOの「ソリューション」は
予算のために競合する幹部の提案に対して積み重ねますか?

CISOは「行き詰まっている」という主張
「間違った」幹部への報告は、彼らが提供する認識された価値の関数です。
あなたが報告する場所は、あなたが最高だとビジネスが信じている場所とよく話します。
成功するチャンス。 企業幹部は成功を最大化し、最小化したい
失敗。

セキュリティの「適切な」量とは
投資? 人生のほとんどの事柄(例:夕食、休暇、家の購入)
コストと期待値の関係を簡単に確認できます。 これは
ビジネスのほとんどの部門(例:R&D、マーケティング、販売、法務、
それ)。 質、量、ペースの間にはかなり明白な関係があります
とコスト。 残念ながら、従来のアプローチを使用するCISOには課題があります。
ビジネスが投資額から得られるものをリンクします。 方法はありますか
他の部門長と同様に、強力にリンクして
の合意された期待を達成するために、質、量、ペースを測定する
結果?

現実はそのビジネスです
幹部が行う:

  • 重要な保護に注意
    ビジネス資産と利益。 実際、彼らの個人的なブランドは、
    サイバーの余波で企業幹部が直接攻撃を受ける
    違反。
  • のスケールを理解する
    問題、そして彼らはそれについて恐れています。 実際、彼らは自信がほとんどありません
    公共の違反は差し迫っていないこと、そして彼らは結果を見る。
  • 信頼できるサイバー復元オプションが欲しい
    しかし、CISOから受け取っていません。 これは経営者を
    バインドし、それらをCYAとして最も一般的な具体的なオプションを生成するようにコーナー化し、
    これは通常、セキュリティフレームワークへの準拠です。 これは簡単に知覚されます
    「セキュリティのチェックボックス」のみを必要とするCISO
  • 費やす受託義務
    賢く。 経営幹部は投資を行う場合は「のろわれ、そうでない場合はのろわれる」
    セキュリティ。 CISOは信頼できるセキュリティ投資をもたらさないため
    オプション、正当な結果ではありませんが、ビジネスを保護する明らかな必要性
    セキュリティ違反からの利益、彼らは機会費用Catch-22に巻き込まれています。

CISOが実用的に解決できない場合
ボードレベルのセキュリティ問題; コストを確定できない場合と合意した場合
結果の期待、そして信頼できる事業計画を提供する場合、それは
彼らが理事会レベルで穴をあけていないことに続いてください。

セキュリティが
ボードレベルの問題、CISOはボードレベルのソリューションを提供していません。
妥当な結果は、CISOにとって厳しい人生であり、権限と範囲が限られています。
残念ながら、トリクルダウンは士気と採用と定着率が低い
CISOの認識と実行の問題を悪化させる課題。

 
取締役会ができる最善のことは、他の場合と同様にサイバーセキュリティリスクを管理することです
ビジネスリスク。 効果的であるためには、ビジネス間の作業関係が必要です
幹部とCISO、CISOが目標を調整し、戦略を推進する
サイバーレジリエンスオプション、リーダーシップに明確なリスクを与えるビジネスプラン
食欲の選択、および結果を提供する実装計画。

ダグラスファーガソン、ファロスセキュリティの創設者兼CTO

トピック:

サイバーセキュリティ

ソース:https://www.scmagazine.com/home/opinion/executive-insight/is-the-ciso-a-second-class-executive/

スポット画像

最新のインテリジェンス

スポット画像

著作権 @ 2024 Plato Technologies Inc.

私たちとチャット

やあ! どんな御用でしょうか?