Uspon CISO – a do C-apartmana dolazi s većim angažmanom u sali za upravu, publikom kod generalnog direktora i moći donošenja strateških odluka za poslovanje, navodi Splunk.
CISO-i izvještavaju C-suite (Izvor: Splunk)
82% anketiranih CISO-a sada izveštava direktno generalnom direktoru, što je značajan porast u odnosu na 47% u 2023. Uz to, 83% CISO-a učestvuje na sastancima odbora donekle često ili većinu vremena. Dok 60% priznaje da članovi odbora sa iskustvom u cyber bezbjednosti u većoj mjeri utiču na sigurnosne odluke, samo 29% CISO kaže da njihov odbor uključuje najmanje jednog člana sa ekspertizom u cyber sigurnosti.
„Kako cyner sigurnost postaje sve važnija za poticanje poslovnog uspjeha, CISO-i i njihovi odbori imaju više mogućnosti da poprave praznine, steknu veću usklađenost i bolje razumiju jedni druge kako bi potaknuli digitalnu otpornost,” rekao je Michael Fanning , CISO, Splunk.
„Za CISO, to znači razumijevanje poslovanja izvan njihovih IT okruženja i pronalaženje novih načina da prenesu ROI od sigurnosnih inicijativa njihovim odborima. Za članove odbora, to znači posvećenost kulturi koja je na prvom mestu za bezbjednost i konsultovanje sa CISO-om kao primarnom zainteresovanom stranom u odlukama koje utiču na rizik preduzeća i upravljanje. Okupljanje ovih grupa zahteva edukaciju odbora o detaljima cyber-bezbjednosti i da CISO razumeju jezik i potrebe poslovanja, istovremeno čineći bezbjednost faktorom koji omogućava poslovanje“, dodao je Fanning.
„Vođenje i upravljanje programima cyber sigurnosti i privatnosti na visokoškolskoj ustanovi zahtijeva snažnu saradnju i komunikaciju sa svima, od članova odbora do čelnika privatnosti, osoblja, fakulteta i studenata kako bi se osiguralo da je sigurnost integrisana u sve aspekte organizacije“, rekao je Shefali Mookencherry , CISO, Univerzitet Illinois Chicago.
„Kako uloga CISO-a postaje složenija i kritičnija za organizacije, CISO-i moraju biti u stanju da uravnoteže sigurnosne potrebe sa poslovnim ciljevima, kulturom i artikulišu vrijednost ulaganja u sigurnost. Uspostavljanjem jakih odnosa između različitih odjela i dionika, CISO-i mogu pružiti smjernice i vodstvo za pokretanje programa sajber sigurnosti i privatnosti”, dodao je Mookencherry.
Odbori sa iskustvom u CISO-u imaju jače odnose sa timom za bezbjednost
Članovi odbora sa iskustvom u CISO-u izvještavaju o snažnijim odnosima sa sigurnosnim timovima i osjećaju se sigurnije u sigurnosni položaj organizacije. Manje je vjerovatno da će od ostalih članova odbora izraziti zabrinutost da ne čine dovoljno da zaštite organizaciju (37% naspram prosjeka ankete od 62%). Ispitanici odbora su izvijestili o odličnim ili vrlo dobrim radnim odnosima između CISO-a i odbora u sljedećim oblastima:
- Postavljanje i usklađivanje sa strateškim ciljevima cyber sigurnosti (80% za odbore sa članom CISO naspram 27% za odbore bez člana CISO)
- Komuniciranje o napretku prema prekretnicama, postizanju sigurnosnih ciljeva i rekordnom planu (60% za odbore sa članom CISO-a naspram 16% za odbore bez člana CISO-a)
- Adekvatan budžet za postizanje ciljeva (50% za odbore sa članom CISO naspram 24% za odbore bez člana CISO)
CISO sa zdravim odnosima u odborima takođe imaju tendenciju da imaju bolju saradnju u cijeloj organizaciji, izveštavajući o posebno jakim partnerstvima sa IT operacijama (82% naspram 69% drugih CISO) i inženjeringom (74% naspram 63% ostalih CISO).
CISO s dobrim odnosima u odboru takođe će imati veću vjerovatnoću da dobiju mogućnost da slijede slučajeve upotrebe za generativnu AI , kao što je kreiranje pravila za otkrivanje prijetnji (43% naspram 31% drugih CISO), analiziranje izvora podataka (45% naspram 28% drugih CISO), odgovor na incidente i forenzičke istrage (42% naspram 29% drugih CISO) i proaktivno traženje prijetnji (46% naspram 28% ostalih CISO).
Bridging podjele CISO odbora
Dok CISO i odbori ukazuju na bliže usklađivanje sigurnosnih prioriteta, praznine i dalje postoje. Najveće praznine u glavnim prioritetima između CISO-a i odbora uključuju:
- Inovacija s novim tehnologijama (52% CISO-a to smatra prioritetom u odnosu na 33% za članove odbora)
- Dokvalifikacija ili prekvalifikacija zaposlenih u obezbeđenju (51% za CISO naspram 27% za odbore)
- Doprinos inicijativama za rast prihoda (36% za CISO naspram 24% za odbore)
Odbori imaju velika očekivanja od CISO-a koji će graditi nove vještine kako bi postali bolji poslovni lideri. Međutim, učenje novih vještina čini posao CISO-a složenijim, a 53% njih kaže da su njihove odgovornosti i očekivanja od posla postali teži otkako su preuzeli posao. Na pitanje koje vještine bi CISO trebali razviti, najveće praznine u važnosti uključuju:
- Poslovna sposobnost (55% za odbore naspram 40% za CISO)
- Emocionalna inteligencija (45% za odbore naspram 35% za CISO)
- Komunikacija (52% za odbore naspram 47% za CISO)
- Poznavanje regulative i usklađenosti (44% za odbore naspram 57% za CISO)
Dok se odbori i CISO slažu o ključnim ključnim pokazateljima cyber sigurnosti, 79% CISO kaže da su se KPI za njihove sigurnosne timove značajno promijenili u posljednjih nekoliko godina. 46% CISO-a je reklo da je postizanje sigurnosnih prekretnica pokazatelj njihovog uspjeha, u poređenju sa samo 19% ispitanika u odborima.
Održavanje usklađenosti je kritično za poslovanje
Regulatorno okruženje postalo je složenije, ekspanzivnije i kazneno, zahtijevajući brže izvještavanje o incidentima i stavljanje veće odgovornosti na ramena CISO-a. Iako je održavanje usklađenosti od vitalnog značaja za poslovanje, samo 15% CISO je status usaglašenosti rangirano kao najbolju metriku učinka, što je značajan nedostatak u poređenju sa 45% odbora.
21% CISO-a je otkrilo da su bili pod pritiskom da ne prijave problem usklađenosti, međutim, 59% je reklo da bi postali zviždač ako njihova organizacija ignoriše zahtjeve usklađenosti.
Cyber budžeti odražavaju nedosljednu podršku i neusklađenost, pri čemu 29% CISO-a kaže da primaju odgovarajući budžet za inicijative u vezi s cyber bezbjednošću i postižu svoje sigurnosne ciljeve, u poređenju sa 41% članova odbora koji smatraju da su budžeti za cyber bezbjednost adekvatni.
64% CISO-a otkriva da su zbog trenutne prijetnje i regulatornog okruženja zabrinuti da ne rade dovoljno. 18% CISO-a je otkrilo da nisu bili u mogućnosti da podrže poslovnu inicijativu zbog smanjenja budžeta u posljednjih 12 mjeseci, a 64% je reklo da je nedostatak podrške doveo do cyber napada.
CISO-e su takođe prijavile smanjena bezbjednosna rešenja i alate (50%), zamrzavanje zapošljavanja (40%) i smanjenje ili eliminisanje bezbjednosne obuke (36%) kao glavne mere uštede. 94% CISO-a navodi da su žrtve razornog cyber napada, pri čemu ih je 55% doživjelo barem nekoliko puta, a drugih 27% ih je doživjelo mnogo puta.
Izvor:Help Net Security
