وجدت دراسة حديثة من مجموعة إستراتيجية المؤسسة أن متوسط مدة خدمة CISO هي من سنتين إلى أربع سنوات. يبدو أن هناك مجموعة متنوعة من العوامل المساهمة فيما يتعلق بالسبب الذي يجعل العديد من المتخصصين في مجال الأمن يستمرون لمدة تقل عن 1000 يوم في الوظيفة ، من بينها حقيقة أن الدور والتوقعات تختلف من شركة إلى أخرى. تواجه العديد من المؤسسات استراتيجية أمان ومخاطر دائمة التطور ، والتي يمكن أن تغير الكفاءات الأساسية المطلوبة للنجاح. على مدار أكثر من عقد في صناعة الأمن ، وجدت أن هذه المنطقة الرمادية تؤدي إلى الكثير من الغموض حول الشكل الذي يبدو عليه النجاح في دور CISO وغالبًا ما يتسبب في سوء الفهم والتوقعات الخاطئة والإرهاق بسبب ليس فقط التحديات الأمنية ولكن نقص في الوضوح التنظيمي والتوقعات كذلك.
فتحت الدعاية حول انتهاكات البيانات الرئيسية ومتطلبات الامتثال ، جنبًا إلى جنب مع المناقشات المستمرة حول حقوق الخصوصية والبيانات ، أعين C-suite والمجالس ، مما يسلط الضوء على الطبيعة الحرجة لدور CISO. ينظر العديد من المديرين التنفيذيين ومجالس الإدارة إلى الاستثمار في الأمن السيبراني على أنه قسط تأمين يهدف إلى تجنب انتهاكات البيانات ، وغالبًا ما يتفاعلون بشكل كبير مع العناوين الرئيسية حول أحدث عمليات استغلال العلامة التجارية أو تسريبات مجتمع الاستخبارات. يؤدي هذا إلى مطالبة المديرين التنفيذيين والمجالس من CISO بضمان حمايتهم من هذه الانتهاكات التي تم الإعلان عنها بشكل كبير ، والتي تمثل أقل من 1٪ من التهديدات السيبرانية الشائعة ، بينما تفتقر إلى التقدير للجهود والاستثمارات اللازمة لمعالجة سيناريوهات الهجمات الإلكترونية المحتملة التي تواجهها الشركات. .
أدى هذا الافتقار إلى الوضوح إلى تصورات خاطئة وتناقضات حول دور CISO. تختلف توصيفات وظائف CISO بشكل كبير عبر الصناعة ، اعتمادًا على حجم الشركة وطبيعة العمل ، سواء كانت مملوكة ملكية خاصة أو متداولة علنًا ، وما إلى ذلك. ألغاز الشركات. في بعض الحالات ، يمتلك CISOs كل شيء بدءًا من مخاطر المؤسسة والامتثال وإنتاج الخدمة إلى النشر ، وكل ذلك مع الاضطرار إلى القيام بذلك مع موظفين وميزانية أصغر حجمًا ، مهما كانت توقعات العمل غير عادية.
من غير الواقعي أن نتوقع أن يكون CISOs أنصاف آلهات قوية في مجال الأمن السيبراني. يجب أن يُتوقع منهم المساعدة في تشكيل أولويات الاستثمار الأمني لشركاتهم بما يتماشى مع الأهداف التي تحددها الشركة ، ولكن في حدود المعقول ، بالنظر إلى موارد الدعم التنظيمي وميزانيات التشغيل. الحقيقة هي أن برامج الأمان المحددة والمزودة بالموارد والمنفذة بشكل صحيح مصممة لتقليل مخاطر العمل ، وليس تحقيق 100 ٪ من عدم المخاطرة. بالإضافة إلى المسؤولية عن إدارة أمن الشركة والامتثال ، يجد العديد من CISOs أنفسهم يلعبون دورًا في تطوير الأعمال واكتساب العملاء والاحتفاظ بالعملاء وتطوير الموظفين والاحتفاظ بالموظفين.
التطوير التنظيمي للوعي الأمني والتطوير الوظيفي هو جانب رئيسي ، تم التقليل من شأنه لكونك رئيس أمن أمن. يواجه CISOs ضغوطًا كبيرة على الاحتفاظ بالمواهب وتنمية المواهب مثل قادة الأعمال الآخرين. هناك طلب كبير على مهارات الأمن السيبراني ، لذلك من المهم أن يعمل قادة الأمن بشكل وثيق مع أفرادهم لضمان تنمية المواهب ، مما يعزز الاحتفاظ بالمواهب. في المؤسسات ذات الموارد والميزانية المحدودة بالفعل ، فإن فقدان موهبتك الأمنية يجعل تحقيق أهداف العمل المحددة أكثر صعوبة وفرض ضرائب على CISO.
هل من الواقعي أن يوازن CISO المعاصر بين المطالب الثقيلة المفروضة على الدور؟ غالبًا ما يأتي هؤلاء دون توافق واضح مع المديرين التنفيذيين ومجالس الإدارة بشأن المخاطر ، ونقص الموارد والميزانية الكافية ، وضغوط العمل الإضافية التي تتجاوز الحد من المخاطر. هنا ، في رأيي ، تكمن العوامل الرئيسية المساهمة في نضوب CISO.
في نهاية اليوم ، من المهم أن يعمل مجتمع الأمن وقادة الأعمال معًا لتشكيل وضمان النجاح في دور CISO. يبدأ هذا باستثمار الوقت في فهم متطلبات الأمان ثم الاتفاق على تحمل مخاطر العمل. بمجرد تحديد القدرة على تحمل المخاطر ، فمن الأهمية بمكان توفير الموارد والتمويل لبرنامج الأمان ، مع مراعاة الضغوط الإضافية على دور CISO. الهدف ليس فقط تقليل مخاطر العمل ، ولكن القيام بذلك مع التخلص من مخاطر الإرهاق في CISO ، وهو منصب تنفيذي يزداد صعوبة في التوظيف والاحتفاظ به.
بصفته رئيس مجلس الإدارة والمدير التنفيذي لشركة Threat Stack ، فإن براين متحمس لبناء شركات التكنولوجيا التخريبية ، التي يغذيها الابتكار والفرق عالية الأداء. مدير تنفيذي محنك في مجال التكنولوجيا يتمتع بخبرة تزيد عن عقدين من الزمن ، انضم براين إلى Threat Stack في عام 2015 من Industrial … عرض السيرة الذاتية الكاملة
اقتراحات للقراءة:
المزيد من الأفكار
