5 CISO’dan 4’ü, düzenleyici ve finansal risklerin iş sorumluluklarının daha büyük bir kısmını tüketmesi nedeniyle rollerinin iki ayrı pozisyona bölünmesi gerektiğine inanıyor. Salı günü Trellix ve Vanson Bourne tarafından yayınlanan rapor.
CISO’ların çoğunluğu, işin teknik, uygulamalı klavye güvenliği rolüne ve mevzuat uyumluluğu ve toplantı odası açıklamalarına odaklanan başka bir pozisyona ayrılması çağrısında bulunuyor.
Menkul Kıymetler ve Borsa Komisyonu ve diğer kurumlar tarafından yapılan düzenleyici değişiklikler, CISO’lar için karışık bir nimet oldu. Harold Rivas, Trellix’in CISO’su.
Rivas, e-posta yoluyla şunları söyledi: “Bir yandan rolü yükseltmeye devam ettiler ve siber güvenliği yönetim kurulu gündeminin bir konusu haline getirdiler.” “Öte yandan, bunlara ilişkin düzenlemeler ve hukuki işlemler kişisel sorumluluğu artırdı… Görevde olanlar için yeni bir stres kaynağı yarattı.”
Rapor, Vanson Bourne tarafından Ağustos ve Eylül aylarında Amerika, Avrupa, Orta Doğu ve Asya-Pasifik bölgesindeki 500’den fazla CISO’nun katıldığı bir ankete dayanıyor.
Yetkililer, CISO’ların sorumluluklarının, olay raporlama gereklilikleri nedeniyle kökten değiştiğini söyledi. Menkul Kıymetler ve Borsa Komisyonu CISO’ların yönetim kurulları ve üst yönetimle düzenli olarak toplantı yapmasını gerektiren kurumsal yönetimdeki yaygın değişikliklerin yanı sıra.
En önemli endişelerden biri, şirketlerinin siber güvenlik risklerini gerektiği gibi açıklamaması durumunda CISO’lar için artan yasal tehlikedir. SEC’in bir SolarWinds’e karşı devam eden sivil dolandırıcılık davası ve CISO’su Timothy Brown’ın iddiaya göre Şirketin siber risklerini açıklamamak 2020 Sunburst saldırılarına giden yolda yatırımcılara.
Ankete katılan 10 kişiden yaklaşık 9’u, değişen düzenleme ortamının CISO olmanın ne anlama geldiğini yeniden tanımladığını söyledi. Ankete katılan her 5 kişiden dördü, yeni düzenlemelere uyum sağlamak için gereken zaman ve çabanın sürdürülebilir olmadığını söyledi.
Ankete katılanların neredeyse yarısı artık yönetim kurullarıyla haftalık olarak buluştuklarını söyledi.
PwC ABD’nin siber, risk ve düzenleme sorumlusu Michelle Horton, bir CISO’nun görevlerinin bölünmesi ihtiyacını geri çevirdi ve bunun, bu şirketlerin bazılarında risk yönetiminin olgunlaşmamışlığına bir örnek olabileceğini belirtti.
Horton, e-posta yoluyla şunları söyledi: “İyi işleyen risk yönetimi ve düzenleyici değişiklik yönetimi programları, hukuk, siber güvenlik, risk yönetimi, uyumluluk, iç denetim vb. dahil olmak üzere departmanlar arasındaki bir işbirliğidir.” “Bu mutlaka CISO rolünü bölmek için bir neden değil.”
Haziran ayında Biden yönetimi büyüyen bir listeyi uyumlu hale getirmeye yönelik planların ana hatlarını çizdi Şirketlerin önemli saldırıları hızlı bir şekilde raporlamasını, siber dayanıklılık stratejilerini açıklamasını veya ilgili endüstri sektörlerindeki minimum güvenlik standartlarını karşılamasını gerektiren uyumluluk gereksinimleri.