Почему кажется, что CISO является вторым классом
должностное лицо? Являются ли CISO жертвами бизнеса, который «не понимает»? Или это
бизнес жертва CISO, которые «не приносят это»?
Бедственное положение CISO хорошо
документированы. Это может быть сложной и неблагодарной ролью, которая сопровождается
высокий стресс и одинаково высокий уровень текучести кадров.
CISO часто считают, что им не дают
бизнес-руководители имеют реальный шанс
их работа. Они часто чувствуют, что не отчитываются перед соответствующим или старшим
достаточно исполнительный, не занимают достаточно заметного положения за столом правления,
не хватает бюджета и не хватает уважения руководителей C-Suite.
Почему это? Это тот бизнес
руководители:
- Не волнует
безопасность? - Не понимаю масштаб
проблема? - Хотите «флажок» для безопасности?
- Хотите инвестировать всего за
они чувствуют, что могут сойти с рук?
Суть этой проблемы заключается в восприятии
Возвращение ценностей безопасности под руководством CISO. Два ключевых момента
реально подорвать восприятие CISO
- Трудность CISO в
убедить, что «хорошо выглядит» из инвестиций в безопасность и безопасность
перспектива результатов. В принципе, есть ли сильно коррелированные отношения
между инвестициями в безопасность и контролем риска / воздействия? - CISO трудно в
прохождение отчетности с точки зрения «технической и эксплуатационной безопасности»,
вместо надежной и простой для понимания перспективы риска и воздействия.
Как правило, вы не получите место в
доска стола, просто увидев проблему на уровне доски. Вы получаете место за доской
стол, имея надежную стратегию и бизнес-план для достижения уровня совета
цели и решить проблемы на уровне совета. Действительно ли CISO эффективно приносят
решение безопасности на уровне платы к столу? Или как «решение» CISO
складываться против смол конкурирующих руководителей для бюджета?
Аргумент, что CISO «застряли»
отчетность перед «неправильным» руководителем - это функция предполагаемой ценности, которую они предоставляют.
Где вы сообщаете, часто говорит о том, что, по мнению бизнеса, у вас есть лучшее
шанс на успех. Руководители предприятий хотят максимизировать успех и минимизировать
отказ.
Что такое «правильный» уровень безопасности
инвестиции? Большинство вещей в жизни (например, покупка обеда, отпуск или дом)
легко увидеть связь между стоимостью и ожиданием. Это работает с
большинство отделов бизнеса (например, НИОКР, маркетинг, продажи, юриспруденция,
ЭТО). Существует достаточно очевидная связь между качеством, количеством, темпом,
и стоимость. К сожалению, используя традиционные подходы, CISO сталкивается с проблемой
связывание того, что бизнес получает от суммы инвестиций. Есть ли способ для
CISO, чтобы обеспечить план, как и другие главы департаментов, чтобы тесно связать и
измерять качество, количество и скорость, чтобы достичь согласованного ожидания
Результаты?
Реальность такова, что бизнес
руководители делают:
- Забота о защите жизненно важных
деловые активы и интересы. На самом деле, их личный бренд находится на линии как
руководители бизнеса попадают под прямой огонь после кибер
нарушение. - понять масштаб
проблема, и они боятся этого. На самом деле, они имеют мало уверенности
что публичное нарушение не является неизбежным, и они видят последствия. - Хотите надежные варианты кибер-устойчивости,
но они не получают их от CISO. Это ставит руководителей предприятий в
связать и загнать их в угол, чтобы создать наиболее распространенный осязаемый вариант, как CYA,
что обычно соответствует требованиям безопасности. Это легко воспринимается
CISO как только хочет «флажок для безопасности» - Имейте фидуциарную обязанность потратить
с умом. Руководители «прокляты, если они делают, и прокляты, если они этого не делают» с инвестициями
в безопасности. Потому что CISO не приносит надежных инвестиций в безопасность
вариантов, ни оправданных результатов, но очевидной необходимости защищать бизнес
интересы от нарушения безопасности, они пойманы в улове 22 альтернативной цены.
Если CISO не может прагматично решить
проблемы безопасности на уровне совета директоров; если они не могут установить затраты против согласованных
ожидание результатов и предоставление заслуживающего доверия бизнес-плана, то, похоже,
следите за тем, чтобы они не пробивали на уровне Совета.
Потому что ясно, что безопасность - это
проблема на уровне совета директоров, и CISO не предлагает решения на уровне совета директоров,
разумный результат - тяжелая жизнь для CISO и ограниченные полномочия и масштабы.
К сожалению, недостаток - плохой моральный дух, найм и удержание
проблемы, которые усугубляют проблему восприятия и исполнения CISO.
Ассоциация
лучшее, что могут сделать Советы, - это управлять рисками кибербезопасности, как и любой другой
деловой риск. Чтобы быть эффективными, между бизнесом должны быть рабочие отношения
руководители и CISO, где CISO имеет согласованные цели, стратегию, которая движет
варианты кибер-устойчивости, бизнес-план, который дает руководству четкий риск
выбор аппетита и план реализации, который дает результаты.
Дуглас Фергюсон, основатель и технический директор Pharos Security
