Neden CISO'nun ikinci sınıf olduğu anlaşılıyor
yönetici? CISO'lar “anlamayan” bir işletmenin kurbanı mıdır? Yoksa
CISO'ların kurbanı “getirmeyen” mi?
CISO'nun durumu iyi
belgelenmiş. Eşlik eden zorlu ve nankör bir rol olabilir.
yüksek stres ve aynı derecede yüksek devir hızı.
CISO'lar genellikle kendilerine verilmediğine inanır
şirket yöneticileri tarafından adil bir şans ve esasen
onların işi. Sıklıkla uygun veya kıdemli bir kişiye rapor vermediklerini düşünürler
Yeterli yönetici, tahta masada yeterince belirgin bir pozisyona sahip değil,
yeterli bütçe verilmez ve C-Suite yöneticilerine saygı gösterilmez.
Bu neden? Bu iş mi
yöneticiler:
- Umrumda değil
güvenlik? - Ölçeğini anlamıyorum
sorun? - Güvenlik için bir 'onay kutusu' ister misiniz?
- Az yatırım yapmak istiyorum
kaçabileceklerini düşünüyorlar mı?
Bu sorunun temel noktası algılanan
CISO önderliğinde güvenliğin geri dönüşü. İki kilit nokta
CISO'nun algısını gerçekten zayıflatmak:
- CISO'nun zorluğu
bir güvenlik yatırımından ve güvenliğinden 'iyi neye benzediğini' ikna etmek
sonuçları perspektifi. Temel olarak, güçlü bir ilişki var mı
güvenlik yatırımı ile risk / etki kontrolü arasındaki fark nedir? - CISO zor durumda
'teknik ve operasyonel güvenlik' perspektifinden geçmiş raporları almak,
Sağlam ve anlaşılması kolay bir risk ve etki perspektifi yerine.
Genellikle,
tahta masa sadece bir tahta düzeyinde sorun görerek. Tahtaya oturun
yönetim kurulu seviyesine ulaşmak için güvenilir bir strateji ve iş planına sahip olmak
hedefleri ve yönetim kurulu düzeyinde sorunları çözmek. Bugün CISO'lar etkili bir şekilde
yönetim kurulu düzeyinde masaya güvenlik çözümü? Veya bir CISO'nun 'çözümü' nasıl
rakip yöneticilerin bütçe için satış konuşmasına karşı birikebilir mi?
CISO'ların 'sıkışmış' olduğu iddiası
'yanlış' yöneticiye rapor vermek, verdikleri algılanan değerin bir fonksiyonudur.
Raporladığınız yer, işletmenin en iyisine sahip olduğunuzu düşündüğü yerle sık sık konuşur
başarı şansı. Şirket yöneticileri başarıyı en üst düzeye çıkarmak ve en aza indirmek istiyor
hatası.
'Doğru' güvenlik miktarı nedir
yatırım? Hayattaki çoğu şey (örneğin, akşam yemeği, tatil veya ev satın almak)
maliyet ve beklenti arasındaki ilişkiyi görmek kolaydır. İle çalışır
iş dünyasındaki çoğu departman (örneğin, Ar-Ge, pazarlama, satış, hukuk,
O). Kalite, miktar, tempo,
ve maliyet. Ne yazık ki, geleneksel yaklaşımları kullanarak bir CISO'nun zorluğu vardır
işletmenin bir miktar yatırımdan ne elde ettiğini ilişkilendirmek. İçin bir yol var mı
bir CISO, diğer bölüm başkanları gibi,
üzerinde mutabık kalınan bir beklentiye ulaşmak için kalite, miktar ve hızı ölçmek
sonuçlar?
Gerçek şu ki, bu iş
yöneticiler şunları yapar:
- Hayati korumanın bakımı
işletme varlıkları ve çıkarları. Aslında, kendi markaları
şirket yöneticileri siber saldırı sonrasında doğrudan ateş altında
ihlal. - ölçeğini kavramak
ve bu konuda dehşete kapılıyorlar. Aslında, çok az güvenleri var
halka açık bir ihlalin yakın olmaması ve bunun sonuçlarını görüyorlar. - Güvenilir siber esneklik seçenekleri isteyin,
ama onları CISO'dan almıyorlar. Bu, şirket yöneticilerini
bir CYA olarak en yaygın somut seçeneği üretmek için onları bağlar ve yönlendirir,
Bu genellikle bir güvenlik çerçevesine uygundur. Bu kolayca algılanır
CISO sadece 'güvenlik için onay kutusu' istemektedir - Harcamak için güvenin
akıllıca. Yöneticiler yatırım yaparlarsa “eğer yaparlarsa lanetlenirler ve yapmazlarsa lanetler”
güvenlik. Çünkü CISO güvenilir bir güvenlik yatırımı getirmiyor
seçenekler ya da haklı sonuçlar, ancak işin korunması için bariz ihtiyaç
güvenlik ihlali nedeniyle çıkarlar, fırsat-maliyet Catch-22 yakalanır.
Bir CISO pragmatik olarak çözemezse
pano düzeyinde güvenlik sorunları; kararlaştırılanlar ile mutabık kalınan masrafları karşılayamıyorlarsa
sonuç beklentisi ve güvenilir bir iş planı sağlamak, o zaman öyle görünüyor ki
Yönetim Kurulu seviyesinde yumruk atmamalarını takip edin.
Çünkü güvenliğin
yönetim kurulu düzeyinde sorun ve CISO yönetim kurulu düzeyinde çözümler getirmiyor,
makul sonuç CISO için zor bir hayat ve sınırlı yetki ve kapsamdır.
Ne yazık ki, damlama zayıf moral ve işe alma ve elde tutma
CISO'nun algılama ve yürütme sorununu arttıran zorluklar.
The
Kurulların yapabileceği en iyi şey siber güvenlik risklerini diğer her şey gibi yönetmektir
iş riski. Etkili olabilmek için iş dünyası arasında çalışan bir ilişki olmalı
yöneticileri ve CISO'nun CISO'nun hedefleri uyumlu hale getirdiği,
siber esneklik seçenekleri, liderliğe açık risk veren bir iş planı
iştah seçimleri ve sonuç veren bir uygulama planı.
Douglas Ferguson, Pharos Security'nin Kurucusu ve CTO'su
