Şirketler güçlü siber yönetişim ve gözetim ihtiyacını fark etmeye başladıkça, CISO’lar ve diğer yönetim düzeyindeki siber güvenlik yöneticileri daha fazla etki ve önem kazanıyor. Moody’s Ratings’in raporuna göre.
Siber güvenlik yöneticilerinin yaklaşık %90’ı, 2021’deki %62’ye kıyasla artık üst düzey bir şirket yöneticisine rapor veriyor. 100’den fazla kişiyle yapılan bir ankete dayanan rapora göre, bu siber güvenlik yöneticilerinin daha yüksek bir yüzdesi artık doğrudan şirket CEO’larına rapor veriyor. 2.000 Kuzey Amerika’daki 1.100’ü de dahil olmak üzere dünya çapında borç veren kuruluşlar.
“Moody’s Ratings Başkan Yardımcısı ve analisti Steven Libretti, e-posta yoluyla şunları söyledi: CISO’nun rolünün kuruluşlar içindeki kıdem ve görünürlüğü arttı. “Bu, siber yöneticiden üst düzey yöneticilere daha fazla doğrudan raporlama hattı ve CEO’ya daha sık siber brifingler anlamına geliyor.”
Moody’s, CISO’ların ve diğer siber güvenlik yöneticilerinin organizasyonlarında üst düzey yöneticilere ve yönetim kuruluna güncellemeler sağlayan daha düzenli bir tempo tespit etti. Rapora göre siber yöneticilerin yaklaşık yüzde 40’ı CEO’larıyla aylık toplantılar yapıyor.
Libretti, “Yönetici ile CISO arasındaki daha fazla yakınlık olumlu bir sonuçtur ve bir kuruluş içinde siber risk konusunda daha fazla farkındalık ve anlayışı teşvik eder” dedi. “Aynı zamanda artan bütçeler ve kaynaklar için daha fazla destek anlamına da geliyor.”
CISO rolü, SolarWinds ve diğer şirketlere yönelik 2020 Sunburst tedarik zinciri saldırılarının yanı sıra 2021 Colonial Pipeline fidye yazılımı saldırılarından bu yana geçen yıllarda gelişti.
CISO’lar, kovuşturma da dahil olmak üzere daha fazla incelemeye başladı. eski Uber CISO’su bir fidye yazılımı saldırısını örtbas etmek ve SEC’in mevcut yazılıma karşı hukuki dava açmak için SolarWinds CISO’su Yatırımcıları şirketin siber riskleri konusunda yanılttığı iddiasıyla.
Büyük şirketler CISO’lara daha fazla görünürlük, sorumluluk ve gözetim sorumluluğu verdi. Özellikle Menkul Kıymetler ve Borsa Komisyonu’nun olay raporlama kurallarından ve yakında çıkacak olan Kritik Altyapı için Siber Olay Raporlama Yasası’ndan kaynaklanan hızlı tehdit avcılığı ve ifşa ihtiyacı ışığında liderlikleri.
SEC kuralları şirketlerin maddi olayları raporlamasını zorunlu kılmak belirlendikten sonraki dört iş günü içinde önemlilik. CIRCIA kritik altyapı sağlayıcılarına ihtiyaç duyacak, 300.000’den fazla kapsam dahilindeki kuruluştan oluşan bu kurum, büyük olayları olaydan sonraki 72 saat içinde federal yetkililere bildirmekle görevlidir. Nihai kuralın hazır olması bekleniyor yaklaşık 18 ay içinde.