Lebih dari seperlima dari CISO telah ditekan untuk tidak melaporkan masalah kepatuhan, menurut penelitian baru. Ketika mereka mengambil tanggung jawab yang lebih besar di ruang dewan, mereka juga menghadapi peningkatan akuntabilitas untuk insiden keamanan, membuat mereka lebih rentan terhadap tekanan eksekutif ketika risiko kepatuhan muncul.
Laporan, yang diterbitkan oleh platform manajemen data Splunk, juga menemukan bahwa 59% dari CISO akan bersedia menjadi whistleblower jika perusahaan mereka mengabaikan persyaratan kepatuhan. Namun, fakta bahwa beberapa orang merasa terdorong untuk mengambil tindakan drastis seperti itu menyoroti masalah yang lebih dalam – gangguan komunikasi antara CISO dan dewan perusahaan.
Putusnya sering berakar karena kurangnya kesadaran di antara para eksekutif mengenai kompleksitas dan waktu yang diperlukan untuk mempertahankan kepatuhan. Anggota dewan dapat meremehkan beban kerja tim keamanan dan, ketika dihadapkan dengan penundaan atau tantangan, dapat mendorong CISO untuk mengecilkan atau menahan masalah alih -alih melaporkannya.
“Sementara dewan tahu kepatuhan itu penting, banyak yang mungkin tidak sepenuhnya menyadari atau memahami pekerjaan yang diperlukan untuk mencapainya,” kata Kirsty Paine, Field CTO dan penasihat strategis untuk Splunk, di Laporan CISO.
“Dengan kurangnya wawasan sehari-hari, tidak mengherankan bahwa anggota dewan berpikir itu harus ‘mudah’ atau bingung ketika CISO dan tim mereka mengambil waktu yang berlebihan untuk mencapai dan mempertahankan postur kepatuhan yang kuat.”
Penelitian Splunk mensurvei 500 pemimpin keamanan, termasuk CISO, dan 100 anggota dewan di 16 industri di seluruh dunia untuk memeriksa bagaimana pembuat keputusan cybersecurity dan tim eksekutif berinteraksi. Temuan ini mengungkapkan semakin banyak kehadiran CISO dalam kepemimpinan perusahaan, tetapi juga tantangan yang terus -menerus dalam menyelaraskan keamanan dengan prioritas bisnis.
Cisos dibawa ke ruang dewan karena ancaman cyber menjadi risiko yang lebih besar, tetapi menghadapi tantangan yang tumbuh
Ketika ancaman dunia maya terus meningkat, CISO diberi tanggung jawab yang meningkat. Laporan tersebut menemukan bahwa 82% sekarang melaporkan langsung ke CEO, naik dari 47% pada tahun 2023, dan 83% menghadiri rapat dewan secara teratur. Namun, peningkatan kehadiran ini belum diterjemahkan ke dalam keselarasan yang lebih baik antara tim keamanan dan eksekutif.
Studi ini mengungkapkan bahwa 94% CISO telah mengalami serangan siber yang mengganggu, dengan 55% melaporkan beberapa insiden dan 27% menghadapi pelanggaran berulang. Terlepas dari ancaman ini, CISO dan anggota dewan tetap terbagi pada prioritas utama, penganggaran, dan fokus strategis.
MELIHAT: Serangan cyber global menjadi dua kali lipat dari tahun 2020 hingga 2024, laporan menemukan
Meskipun Cisos dipercayakan dengan pengambilan keputusan strategis, laporan Splunk menyoroti beberapa bidang yang jelas tentang ketidaksejajaran antara mereka dan anggota dewan lainnya.
Misalnya, 52% dari dewan berpikir CISO menghabiskan sebagian besar waktu mereka menyelaraskan upaya keamanan mereka dengan tujuan bisnis, tetapi hanya 34% dari CISO mengatakan ini adalah masalahnya. Dalam kenyataan, sebagian besar pekerjaan mereka melibatkan memilih, memasang, dan teknologi operasi , menurut 57% CISO.
CISO juga memiliki prioritas yang berbeda dengan anggota dewan lainnya. Lebih dari setengah, atau 52%, memprioritaskan berinovasi dengan teknologi yang muncul, sementara hanya 33% dari dewan yang setuju. Persentase yang sama, 51%, juga memberi peringkat upskilling dan melatih kembali karyawan keamanan sebagai penting, tetapi hanya 27% dari dewan berbagi pandangan itu.
Ketika datang ke kepatuhan, hanya 15% dari CISO yang memberi peringkat sebagai metrik kinerja teratas, kemungkinan karena banyak yang melihatnya sebagai latihan kotak centang yang menghasilkan hanya tingkat keamanan dasar. Namun, 45% papan menghargainya sebagai metrik penting.
Cisos percaya mereka pandai berkomunikasi, tetapi bukti menunjukkan sebaliknya
Laporan Splunk menunjukkan bahwa Cisos merasa mereka berkomunikasi dengan baik dengan anggota dewan lainnya, yang mengarah pada keselarasan mereka pada masalah -masalah utama. Namun, mereka mungkin melebih -lebihkan hubungan mereka. Sebanyak 61% dari CISO merasa mereka selaras dengan tujuan keamanan strategis, dibandingkan dengan 43% anggota dewan. Ketika datang untuk mengkomunikasikan kemajuan tonggak keamanan, 44% dari CISO menilai kemampuan mereka tinggi, tetapi hanya 29% anggota dewan setuju.
Miskomunikasi semacam itu memiliki konsekuensi nyata pada operasi bisnis. Misalnya, hanya 29% dari CISO yang melaporkan memiliki anggaran yang tepat untuk inisiatif dan tujuan cybersecurity, dibandingkan dengan 41% anggota dewan. Investasi yang tidak memadai ini membuat organisasi rentan terhadap serangan cyber. Sebanyak 62% dari CISO yang menunda peningkatan teknologi mereka untuk memotong biaya mengatakan itu mengakibatkan pelanggaran atau serangan yang berhasil.
CISO perlu meningkatkan komunikasi mereka dengan dewan dengan berfokus pada angka
Untuk mencegah serangan dunia maya dan ketidakselarasan kepatuhan, para pemimpin keamanan harus memperbaiki pendekatan mereka ketika terlibat dengan anggota dewan.
“Banyak dewan menyatakan bahwa mereka memprioritaskan pertumbuhan bisnis (44%) daripada memperkuat program keamanan siber (24%), yang berarti mereka cenderung mendukung inisiatif keamanan siber yang memberikan nilai paling besar bagi pemegang saham dan organisasi,” tulis penulis laporan itu.
Memang, 64% dewan mengatakan menyajikan keamanan sebagai enabler bisnis adalah cara paling efektif untuk meningkatkan anggaran, tetapi hanya 43% dari CISO yang mendekati topik seperti itu. Hanya di bawah setengah, atau 46% dari dewan mengatakan bahwa menyajikan biaya seperti downtime dan denda potensial adalah argumen yang paling meyakinkan dalam diskusi anggaran.
MELIHAT: Downtime biaya perusahaan terbesar di dunia $ 400 miliar per tahun
Tanggung jawabnya tidak hanya pada cisos. Anggota dewan harus berkonsultasi dengan CISO sebagai pemangku kepentingan utama dalam keputusan yang berdampak pada risiko dan tata kelola perusahaan, kata penulis laporan itu.
“Terlepas dari kesenjangan, mereka berbagi tugas untuk melindungi perusahaan. Dewan melindungi profitabilitas dan harga saham; CISO melindungi data dan sistem. Ini adalah sesuatu untuk dibangun. Tetapi akan membutuhkan komunikasi, pemahaman, dan dosis kesabaran yang murah hati untuk bersatu, ”tulis mereka.