Waarom lijkt het erop dat de CISO een tweede klasse is
uitvoerend? Zijn CISO's het slachtoffer van een bedrijf dat 'het niet snapt'? Of is het
bedrijf een slachtoffer van CISO's die "het niet brengen"?
De situatie van de CISO is goed
gedocumenteerd. Het kan een uitdagende en ondankbare rol zijn die daarbij hoort
hoge stress en een even hoge omloopsnelheid.
CISO's denken vaak dat ze niet worden gegeven
een eerlijke kans voor bedrijfsleiders en worden in wezen verhinderd
hun baan. Ze hebben vaak het gevoel dat ze niet rapporteren aan een geschikte of senior
genoeg leidinggevende, heb geen prominente positie aan de tafel van het bord,
krijgen niet genoeg budget en hebben geen respect voor de leidinggevenden van C-Suite.
Waarom is dit? Is dat die zaak
leidinggevenden:
- Kan me niet genoeg schelen
veiligheid? - Ik begrijp de schaal niet
het probleem? - Wilt u een 'selectievakje' voor beveiliging?
- Wil zo weinig investeren
voelen ze dat ze ermee weg kunnen komen?
De crux van dit probleem is de perceptie
waarde terugkeer van beveiliging onder leiding van de CISO. Twee hoofdpunten
de perceptie van CISO echt ondermijnen:
- De moeilijkheid van de CISO
overtuigen hoe 'goed eruit ziet' van een investering in beveiliging en beveiliging
resultaten perspectief. Kortom, is er een sterk gecorreleerde relatie
tussen beveiligingsinvesteringen en risico- / impactcontrole? - De CISO zit er moeilijk in
voorbijgaan aan rapportage vanuit het perspectief van 'technische en operationele beveiliging',
in plaats van een robuust en gemakkelijk te begrijpen risico- en impactperspectief.
Over het algemeen krijg je geen stoel bij de
bordtafel door alleen een bordniveau probleem te zien. Je krijgt een stoel aan het bord
tafel door een geloofwaardige strategie en bedrijfsplan te hebben om het bestuursniveau te bereiken
doelstellingen en problemen op bordniveau oplossen. Brengen CISO's vandaag effectief een
board level beveiligingsoplossing voor de tafel? Of, hoe werkt de 'oplossing' van een CISO
tegen budgetten van concurrerende leidinggevenden oplopen voor budget?
Het argument dat CISO's 'vastzitten'
rapporteren aan de 'verkeerde' leidinggevende is een functie van de gepercipieerde waarde die ze leveren.
Waar u rapporteert, spreekt vaak waar het bedrijf denkt dat u het beste heeft
kans op succes. Bedrijfsleiders willen het succes maximaliseren en minimaliseren
mislukking.
Wat is de 'juiste' beveiliging
investering? De meeste dingen in het leven (bijv. Diner, vakantie of huis kopen)
het verband tussen kosten en verwachtingen is gemakkelijk te zien. Dit werkt met
ook de meeste afdelingen in het bedrijfsleven (bijv. R&D, marketing, verkoop, juridische,
HET). Er is een redelijk voor de hand liggend verband tussen kwaliteit, kwantiteit, tempo,
en kosten. Helaas heeft een CISO met conventionele benaderingen een uitdaging
koppelen wat het bedrijf krijgt door een investering. Is er een manier voor
een CISO om, net als de andere afdelingshoofden, een plan te bieden om sterk te koppelen en
meet kwaliteit, kwantiteit en tempo om een afgesproken verwachting van te bereiken
resultaten?
De realiteit is dat bedrijf
leidinggevenden doen:
- Zorg over de bescherming van vitaal belang
bedrijfsmiddelen en belangen. In feite staat hun persoonlijke merk op het spel
zakenmensen komen direct onder vuur te liggen in de nasleep van cyber
schending. - begrijp de schaal van de
probleem, en ze zijn er doodsbang voor. In feite hebben ze weinig vertrouwen
dat een openbare inbreuk niet op handen is, en ze zien de gevolgen. - Wilt u geloofwaardige opties voor cyberweerbaarheid,
maar ze ontvangen ze niet van de CISO. Dit zet bedrijfsleiders in
een binding en brengt ze in het nauw om de meest voorkomende tastbare optie als een CYA te produceren,
dat is meestal naleving van een beveiligingskader. Dit wordt gemakkelijk waargenomen door
de CISO omdat ze alleen een 'selectievakje voor beveiliging' willen - Heb een fiduciaire plicht te besteden
verstandig. Leidinggevenden zijn 'verdoemd als ze dat doen, en verdoemd als ze dat niet doen' met investeringen
in veiligheid. Omdat de CISO geen geloofwaardige investering in beveiliging oplevert
opties, noch gerechtvaardigde resultaten, maar de voor de hand liggende noodzaak om het bedrijf te beschermen
belangen van inbreuk op de beveiliging, worden ze gevangen in een kostprijs Catch-22.
Als een CISO niet pragmatisch kan oplossen
beveiligingsproblemen op bestuursniveau; als ze geen kosten kunnen vaststellen versus overeengekomen
verwachting van resultaten, en een geloofwaardig bedrijfsplan geven, dan lijkt het wel
volgen dat ze niet ponsen op het niveau van de Raad.
Omdat het duidelijk is dat beveiliging een
board level probleem, en de CISO brengt geen board level oplossingen, de
een redelijk resultaat is een moeilijk leven voor de CISO en heeft beperkte autoriteit en reikwijdte.
Helaas is het stroompje een slecht moreel en aanwerving en behoud
uitdagingen die het perceptie- en uitvoeringsprobleem van de CISO verergeren.
De
het beste wat raden kunnen doen, is cyberveiligheidsrisico's beheren zoals elk ander
Bedrijfsrisico. Om effectief te zijn, moet er een werkrelatie zijn tussen bedrijven
leidinggevenden en de CISO, waar de CISO doelen heeft uitgelijnd, strategie die drijft
opties voor cyberweerbaarheid, een bedrijfsplan dat leiderschap een duidelijk risico geeft
eetlustkeuzes en een implementatieplan dat resultaten oplevert.
Douglas Ferguson, oprichter en CTO van Pharos Security
