Ich denke, das ist eine falsche Zweiteilung, und Ihr CSO ist einfach albern.
Obwohl ich die Albernheit mag, sollte die Sicherheitsabteilung die Risikominderung vorantreiben. Streitigkeiten über Bereiche der "Verantwortung" sind offensichtlich nicht produktiv, obwohl sie möglicherweise in die allgemeine Unternehmenskultur passen.
Während es verschiedene Möglichkeiten gibt, den Bereich der Sicherheit und ihre Verantwortung zu qualifizieren - die CIA-Triade ist eine, aber es gibt andere -, würde ein reifer, verantwortungsbewusster CSO zumindest auf eine Lösung drängen.
Ich habe einige sagen hören, dass die Unterscheidung zwischen "Sicherheitsrisiko" und "operationellem Risiko" darin besteht, ob es sich um einen potenziellen Bedrohungsakteur handelt oder nur um einen Unfall oder Missbrauch.
Dies macht zwar viel aus Sinn, ich denke, ein pragmatischerer Ansatz wäre, einfach zu akzeptieren, dass es erhebliche Überschneidungen zwischen den beiden gibt - und das bedeutet nur, dass es mehr Ressourcen gibt, um an dem Problem zu arbeiten, und nicht, dass jeder die Verantwortung abtreten kann.
Das heißt, in diesem speziellen Fall würde ich empfehlen, dass der CSO (oder die technischen Mitarbeiter in seiner Abteilung) das Minderungsverfahren vorantreibt, einen Rahmen für das Risikograd definiert usw. und dann die Hand reicht Es geht los, um eine passende Lösung zu implementieren. Vielleicht können die Sicherheitsleute eine Lösung empfehlen, oder sie sollten nur Metriken definieren, die die Lösung erfüllen soll, je nachdem, wie technisch / praktisch das Team ist.
Auf diese Weise kann das Unternehmen damit umgehen, dass das Risiko zwar ein Sicherheitsrisiko darstellt, die Lösung jedoch ein operatives.