CISO មិនមែនជា “ទទួលខុសត្រូវផ្តាច់មុខលើគ្រប់កិច្ចការតាមសាយប័រ” ឬជាអ្នកដែលត្រូវគេទម្លាក់កំហុសលើដោយស្វ័យប្រវត្តិ បន្ទាប់ពីមានការបែកធ្លាយទិន្នន័យ ឬការបរាជ័យក្នុងការធ្វើសវនកម្មនោះទេ។ ការងាររបស់ CISO គឺគ្រប់គ្រង កំណត់ស្តង់ដារ កំណត់អត្តសញ្ញាណហានិភ័យ ផ្ទៀងផ្ទាត់ការត្រួតពិនិត្យ និងរាយការណ៍ពីចន្លោះប្រហោង – មិនមែនជាអ្នកប្រតិបត្តិរាល់ការត្រួតពិនិត្យទាំងអស់នៅក្នុងស្ថាប័ននោះទេ។
តួនាទីរបស់ CISO (នាយកសន្តិសុខសាយប័រ) ត្រូវបានគេយល់ខុស។
គណនេយ្យភាពគួរតែស្ថិតនៅកន្លែងដែលការងារត្រូវធ្វើ៖
១. ថ្នាក់ដឹកនាំអាជីវកម្ម ជាម្ចាស់លើហានិភ័យអាជីវកម្ម
២. ផ្នែកព័ត៌មានវិទ្យានិងវិស្វកម្ម ជាម្ចាស់លើការអនុវត្តប្រតិបត្តិការ
៣. ម្ចាស់ទ្រព្យសកម្ម ជាម្ចាស់លើភាពត្រឹមត្រូវនៃបញ្ជីសារពើភ័ណ្ឌឌីជីថល
៤. ផ្នែកសន្តិសុខ ជួយសម្រួល គ្រប់គ្រង ផ្ទៀងផ្ទាត់ និងរាយការណ៍បន្ត
ប៉ុន្តែនៅក្នុងស្ថាប័នជាច្រើន CISO តែងតែត្រូវបានគេបន្ទោសចំពោះ៖
១. បញ្ជីសារពើភ័ណ្ឌទ្រព្យសកម្មឌីជីថលមិនពេញលេញ ដែលគ្រប់គ្រងដោយផ្នែកប្រតិបត្តិការ IT និងផ្នែកពាក់ព័ន្ធ
២. ការបរាជ័យក្នុងការជួសជុលប្រព័ន្ធ (Patching failures) ដែលគ្រប់គ្រងដោយក្រុមរចនាសម្ព័ន្ធព័ត៌មានវិទ្យា (infrastructure)
៣. ចន្លោះប្រហោងនៃ IAM (ការគ្រប់គ្រងអត្តសញ្ញាណ និងសិទ្ធិចូលប្រើប្រាស់) ដែលអាជីវកម្មបដិសេធមិនអនុវត្តតាម
៤. ការលើកលែងក្រៅផ្លូវការ ដែលក្រោយមកប្រែទៅជាឧប្បត្តិហេតុ
៥. ស្តង់ដារដែលត្រូវបានរំលងដោយក្រុមអភិវឌ្ឍន៍កម្មវិធី
ដើម្បីឱ្យកាន់តែច្បាស់ – CISO មានគណនេយ្យភាពនៅពេលដែលពួកគេបរាជ័យក្នុងការកំណត់អត្តសញ្ញាណហានិភ័យ ការចូលរួមជាមួយអាជីវកម្ម ឬការរាយការណ៍បញ្ហាដែលមិនទាន់ដោះស្រាយទៅកាន់ថ្នាក់ដឹកនាំ។ នោះហើយទើបជាការងាររបស់ពួកគេ។ ប៉ុន្តែការត្រូវទទួលខុសត្រូវលើការអនុវត្តការត្រួតពិនិត្យដែលពួកគេមិនបានចាត់ចែង ឬមិនបានអនុញ្ញាត គឺមិនមែនជាការងាររបស់ពួកគេទេ។
នៅពេលដែលផ្នែកសន្តិសុខសាយប័រ “ទទួលយកភាពជាម្ចាស់” លើចន្លោះប្រហោងនៃប្រតិបត្តិការ ស្ថាប័ននឹងសន្មត់ដោយស្ងៀមស្ងាត់ថា៖ “ប្រសិនបើមានអ្វីខុសឆ្គង វាជាបញ្ហារបស់ CISO”។
កម្មវិធីដែលរឹងមាំបំផុត គឺត្រូវចែករំលែកការទទួលខុសត្ររូវរវាងផ្នែកសន្តិសុខសាយប័រ (cybersecurity) អាជីវកម្ម (business) ឌីជីថលឬព័ត៌មានវិទ្យា (IT) សវនកម្ម (Audit) និងហានិភ័យ (Risk)។ សន្តិសុខសាយប័រ (Cybersecurity) គឺជាការទទួលខុសត្រូវរបស់ស្ថាប័នទាំងមូល – មិនមែនជាមុខងាររបស់មនុស្សតែម្នាក់នោះទេ៕
អរគុណសន្តិភាព
