Prema Trellixu, 84% CISO-a vjeruje da se uloga mora podijeliti na dvije funkcije – jednu tehničku i jednu usmjerenu na poslovanje, kako bi se maksimizirala sigurnost i organizacijska otpornost.
Regulativni zahtjevi predstavljaju rastući izazov za CISO-e
Istraživanje otkriva uvide od preko 500 CISO-a širom svijeta o regulaciji cyber sigurnosti, ulozi CISO-a, te njihovim interakcijama i izazovima kada podnose izvještaj odboru svoje organizacije.
“Ušli smo u eru dualnosti CISO-a,” rekao je Harold Rivas, CISO, Trellix. „CISO-ima je potrebna i tehnička i poslovna leća – a mi treba da budemo strateški komunikatori. Uloga nije više samo u održavanju cyber higijene. Upravlja rizikom, ostaje na vrhu i ispred propisa i usklađenosti, i usklađuje se s vodstvom i odborom, a sve to u odbrani od naprednih prijetnji. CISO su kanali između ključnih dionika, poslovnih ciljeva i sajber otpornosti.”
Proaktivno održavanje stava cyber sigurnosti, prioritet prevencije i ublažavanja ransomware-a, odbrana od napada koje sponzorira država i odgovor na globalne IT incidente su glavni prioriteti za CISO ove godine. Povrh ovoga, CISO-e takođe moraju upravljati složenim regulatornim zahtjevima i povećanim interesom i očekivanjima dionika uz ograničene resurse. Utjecaj ove rastuće odgovornosti osjećaju svi.
93% CISO-a se slaže da je regulacija cyber sigurnosti pomogla njihovoj karijeri kao CISO-a – kao što je veći utjecaj u strateškim odlukama ili podizanje na nivo diskusija na nivou odbora, ali 79% vjeruje da vrijeme i napor koji su potrebni da se ide u korak s regulatornim promjenama nisu održivi.
CISO-e moraju poboljšati vještine izvještavanja
Izvještavanje odboru je vještina koju CISO treba da usavrši, 49% podnosi izvještaj odboru na sedmičnoj (ili češće) osnovi, što povećava njihov preopterećeni posao. Mnogi se i dalje bore s razumijevanjem i usklađivanjem na nivou odbora i C-razina, pri čemu 66% kaže da odboru nedostaje tehničko znanje ili stručnost da u potpunosti shvati probleme cyber sigurnosti, a 59% CISO-a kaže da se njihovi stavovi ne poklapaju s njihovim CIO ili izvršnim direktorom.
Kao rezultat toga, 91% CISO-a se slaže da će ovo proširenje odgovornosti dovesti do veće fluktuacije u toj ulozi, a 49% ne vidi budućnost kao CISO. Da bi se bolje upravljalo ovim rastućim odgovornostima, 84% CISO-a smatra da bi ta uloga trebala biti podijeljena na tehničku (CISO) i ulogu usmjerenu na poslovanje (BISO).
Kako bi osigurali budućnost ove uloge, CISO-ima je potrebna dodatna podrška regulatora, njihovih organizacija i kolega. 87% CISO-a se slaže da je diskusija o regulaciji cybersigurnosti s kolegama vrednija od vršenja vlastitog istraživanja.
„Element uspjeha CISO-a je snažna kolaborativna zajednica“, rekao je Jim Jenkins, potpredsjednik i službenik za informacijsku sigurnost u Vantage West Credit Union, član Trellix CISO vijeća. „Zahtjevna je uloga kada su resursi i podrška nedostatni. Učenje od kolega i razmjena informacija na širem planu omogućavaju CISO-ima da budu efikasniji i preusmjeravaju napore na strateške inicijative.”
Jasnoća odgovornosti i očekivanja uloge, uz jasne smjernice i podršku rukovodstva i regulatora, kao i saradničke vršnjačke zajednice, od vitalnog su značaja za osiguranje budućeg uspjeha uloge CISO-a.
Izvor:Help Net Security