De ce CISO este un rol de guvernanță, nu unul de IT

Riscul cibernetic trebuie să fie tratat cu un risc de business de prim rang, dincolo de faptul că este un risc tehnologic în sine. Pentru că potențialul acestuia, în lipsa procedurilor și a măsurilor de conformare, este de a distruge zeci de procente din valoarea de piață a unei companii într-o singură noapte. Atunci când un atacator criptează sistemele unui producător industrial, fură (și șterge din sisteme) datele clienților din bazele unui retailer sau compromite infrastructura critică a unei bănci, consecințele sunt financiare, operaționale, legale, de reputație și de încredere a acționarilor, partenerilor, clienților. Iar piețele reacționează imediat, competitorii se repliază, se pierd oportunități. O sumă de consecințe greu de anticipat și evaluat, și mai greu de remediat.

Când CISO-ul raportează direct CIO-ului, structura însăși generează un conflict de interese structural. CIO-ul este incentivizat să livreze proiecte, să accelereze transformarea digitală și să optimizeze costurile. CISO-ul are datoria strategică să spună „nu” sau „nu încă” atunci când viteza sau economiile compromit reziliența organizației. Această tensiune este sănătoasă și necesară, însă nu poate fi gestionată corect dacă ambii executivi se află în același lanț ierarhic.

În contextul Directivei NIS2, rolul CISO-ului capătă o dimensiune explicită de guvernanță, fiindcă plasează responsabilitatea finală pentru managementul riscurilor cibernetice la nivelul organelor de conducere ale organizației. Managementul trebuie să aprobe, să supravegheze și să-și asume măsurile de securitate. Astfel, CISO-ul devine principalul consilier strategic al Board-ului și al CEO-ului. Pentru că le înțelege cel mai bine, practic traduce riscurile tehnice în impact de business, creionează apetitul de risc cibernetic al organizației, asigurând alinierea strategiei de securitate cu obiectivele de afaceri pe termen lung.

Un CISO veritabil de guvernanță gestionează decizii de risc la nivel strategic, dincolo de latura tehnică în sine: evaluează riscul rezidual în termeni financiari și de continuitate a afacerii, consiliază Comitetul de Audit și Riscuri și implementează măsurile prin care securitatea cibernetică este asigurată.

Deocamdată, în România și în mare parte a Europei Centrale și de Est, majoritatea CISO-ilor raportează încă CIO-ului și sunt percepuți ca „oameni de IT cu focus pe securitate”. Mentalitățile și abordările noii realități se adaptează greu, însă și pericolele care vin din această realitate, și cadrul de reglementare ar trebui să fie cele două mari argumente întru acceptarea schimbărilor.

Bugetele de securitate rămân subsumate bugetului IT, iar discuțiile cu board-ul se limitează frecvent la metrici tehnice – număr de atacuri blocate sau procente de patch-uri aplicate. Această abordare, acceptabilă în 2015, a devenit periculos de învechită. Probabil că cel mai important rol aici revine tocmai acestui CISO al companiei, fie el intern sau extern(alizat), să atragă atenția top managementului.

Cele mai mature organizații au adoptat modelul de raportare duală: funcțional către Comitetul de Audit sau Riscuri al Consiliului de Administrație și administrativ către CIO. În peisajul actual al amenințărilor, unde AI-ul este folosit de atacatori pentru a lansa campanii ultra-personalizate și rapide, un CISO „blocat” în subordinea IT-ului va fi mereu în urmă, limitat de bugete de mentenanță și de o viziune pur reactivă.

Tranziția către formula cu vCISO (CISO virtual/extern) ori pentru un senior advisor, cel puțin, reprezintă, de asemenea, o tendință bună, tot mai vizibilă. Companiile mici și mijlocii înțeleg că au nevoie de expertiză, și chiar dacă nu-și permit un CISO full-time, încep să apeleze din ce în ce mai mult la consultanți independenți care stăpânesc guvernanța riscului cibernetic mult mai bine decât configurarea unui router sau managementul unui SIEM.

Companiile care înțeleg că au nevoie, pentru dezvoltare, reziliență și o bună conformare vor face această schimbare rapid. Cele care nu o fac vor continua să trateze simptomele (soluții și răspunsuri punctuale atacurilor de sisteme), în timp ce expunerea strategică la riscul cibernetic aduce consecințe dintre cele mai rele.

Opinie de Cristiana Deca, CEO & cofondator Decalex