Bukken stopper her: Indsatsen er høj for CISO'er

Bukken stopper her: Indsatsen er høj for CISO'er

Tidsstempel: 8. februar 2024 kl. 5:30

Forretningssikkerhed

Tunge arbejdsbyrder og spøgelset af personligt ansvar for hændelser tager en vejafgift på sikkerhedsledere, så meget, at mange af dem leder efter udgangene. Hvad betyder det for virksomhedernes cyberforsvar?

Phil Muncaster

Phil Muncaster

08 februar 2024  •  , 5 min. Læs

Bukken stopper her: Hvorfor indsatsen er høj for CISO'er

Cybersikkerhed er endelig bliver et problem på bestyrelsesniveau. Det er, som det skal være, i betragtning af den stadig vigtigere rolle, cyberrisikostyring spiller i strategisk beslutningstagning. Cyber-risiko er grundlæggende en kerneforretningsrisiko med potentiale til at lave eller bryde en organisation. Det er bestemt tanken bag nye reguleringsregler i USA. 

Men ved at anerkende dets betydning, lægger bestyrelser og regulatorer også mere pres på CISO'er uden nødvendigvis at give dem passende anerkendelse og belønning. Resultatet: stigende stress, udbrændthed og utilfredshed. Tre fjerdedele (75 %) af CISO'er siges at være åben for en ændring, en stigning på otte procentpoint i forhold til et år siden. Og 64 % er tilfredse med deres rolle, et fald på 10 %.

Disse udfordringer har alvorlige konsekvenser for cybersikkerhed i organisationer. At tage fat på dem bør være en presserende prioritet.

En stadig mere stressende rolle

CISO'er har altid haft et stressende job. Blandt chaufførerne for nylig er:

  • bølgende niveauer af cybertrusler, som efterlader mange organisationer i kontinuerlig brandslukningstilstand
  • Industri mangel på færdigheder der efterlader nøgleteams underbemandet
  • Overdreven arbejdsbyrde på grund af stigende krav til bestyrelseslokaler
  • Mangel på tilstrækkelige ressourcer og finansiering
  • Arbejdsbyrde, der tvinger CISO'er til at arbejde lange timer og aflyse ferier
  • Digital transformation, som fortsætter med at udvide virksomheden cyberangreb overflade
  • Overholdelseskrav, der fortsætter med at vokse for hvert år, der går

Det er ingen overraskelse, at en fjerdedel (24%) af globale it- og sikkerhedsledere har indrømmet til selvmedicinering for at lindre stress. De stigende stressniveauer øger ikke blot sandsynligheden for udbrændthed og/eller førtidspension – de kan føre til dårlig beslutningstagning (som bemærket af denne undersøgelsefor eksempel), samt påvirke kognitive færdigheder og evnen til at tænke rationelt. Faktisk er det blevet foreslået, at selv forventningen om en stressende dag forude kan påvirke kognition. Omkring to tredjedele (65 %) af CISO'er indrømme at jobrelateret stress har kompromitteret deres evne til at præstere på arbejdet.

Granskning udøver yderligere pres fra CISO

Oven i denne grundlinje af stress er der kommet ekstra lovgivningsmæssig, juridisk og bestyrelseskontrol over de seneste måneder. Tre nylige begivenheder er lærerige:

  • Maj 2023: Tidligere Uber CSO, Joe Sullivan blev dømt til tre års betinget fængsel efter at være blevet fundet skyldig i to forbrydelser relateret til hans rolle i et forsøg på tilsløring af et mega-overtrædelse i 2016. Tilhængere hævder, at han blev syndebuk af den daværende administrerende direktør Travis Kalanick og den interne Uber-advokat Craig Clark, med Sullivan forklarer at Kalanick havde skrevet under på sin kontroversielle betaling på 100,000 dollars til hackerne.
  • Oktober 2023: I en første, den SEC opkrævede SolarWinds CISO Timothy Brown for at nedtone eller undlade at afsløre cyberrisiko, mens han overvurderer firmaets sikkerhedspraksis. Klagen henviser til adskillige interne kommentarer fra Brown og hævder, at han undlod at løse eller ophøje disse alvorlige bekymringer i virksomheden.
  • December 2023: Nye SEC-rapporteringsregler træder i kraft, hvilket kræver, at børsnoterede virksomheder rapporterer "væsentlige" cyberhændelser inden for fire arbejdsdage efter fastlæggelsen af ​​væsentlighed. Virksomheder skal også årligt beskrive deres processer til vurdering, identificering og styring af risici og virkningen af ​​eventuelle hændelser. Og de bliver nødt til at detaljere bestyrelsens tilsyn med cyberrisiko og dens ekspertise i at vurdere og håndtere sådanne risici.

Det er ikke kun i USA, hvor lovgivningsmæssigt tilsyn opbygges. Det nye NIS2-direktiv, der skal implementeres i EU-medlemsstaternes lovgivning i oktober 2024, lægger et direkte ansvar på bestyrelsen for at godkende cyberrisikostyringsforanstaltninger og overvåge deres implementering. Medlemmer af C-suiten kan også holdes personligt ansvarlige, hvis de konstateres uagtsomt i tilfælde af alvorlige hændelser.

Ifølge Enterprise Strategy Group (EST) analytiker Jon Oltsik, det stigende pres, som sådanne tiltag lægger på CISO'er, gør deres kerneopgave med at reagere på trusler og håndtere cyberrisici mere udfordrende. Et nyligt ESG-studie afslører, at opgaver som at arbejde med bestyrelsen, overvåge overholdelse af lovgivning og styring af et budget, ændrer CISO-rollen fra en, der er teknisk til forretningsorienteret. Samtidig er den voksende afhængighed af IT til at drive digital transformation og forretningssucces blevet overvældende. Undersøgelsen hævder, at 65 % af CISO'er har overvejet at forlade deres rolle på grund af stress.

cisos-udbrændthed-stress-ansvar

Takeaways til CISO'er og bestyrelser

Den nederste linje er, at hvis CISO'er kæmper for at klare arbejdsbyrden og i frygt for regulatoriske repressalier og endda strafferetligt ansvar for deres handlinger, vil de sandsynligvis træffe værre dag-til-dag beslutninger. Mange forlader måske endda branchen. Dette ville allerede have en enorm ondartet indvirkning på en sektor kæmper med mangel på kvalifikationer.

Men sådan behøver det ikke være. Der er ting, som både bestyrelser og deres CISO'er kan gøre for at afhjælpe situationen. Det er i deres begges interesse at finde en vej igennem dette. Overvej følgende:

  • Bestyrelser bør vurdere CISO'ers mentale sundhed, arbejdsbyrde, ressourcer og rapporteringsstrukturer for at optimere deres effektivitet. Høje nedslidningsrater kan føre til lange huller uden en fuldtids CISO, hvilket demotiverer teams og påvirker sikkerhedsstrategien.
  • Bestyrelser bør aflønne deres CISO'er i overensstemmelse med den forhøjede risiko, som deres rolle nu indebærer.
  • Regelmæssigt engagement i bestyrelsen og CISO er afgørende, med direkte rapportering til den administrerende direktør, hvis det er muligt. Dette vil hjælpe med at forbedre kommunikationen mellem de to og løfte CISO's position i overensstemmelse med deres ansvar.
  • Bestyrelser bør give deres CISO'er direktører og officerer (D&O) forsikring for at hjælpe med at isolere dem fra alvorlig risiko.
  • CISO'er bør holde sig til den branche, de elsker, og tage større ansvar i stedet for at løbe væk fra det. Men de skal også huske, at deres rolle er at rådgive og skabe sammenhæng til bestyrelsen. Lad andre foretage de store opkald.
  • CISO'er bør altid prioritere gennemsigtighed og åbenhed, især over for regulatorer.
  • CISO'er bør være opmærksomme på, hvad de cirkulerer internt og sikre, at omstridte beslutninger eller anmodninger fra C-suiten altid registreres skriftligt.

Når de finder en ny rolle, bør CISO'er hyre en personlig advokat til at gennemgå deres fremtidige kontrakt i detaljer.

For at optimere cybersikkerhedsstrategien bør bestyrelser starte med at revurdere, hvad de ønsker, at CISO-rollen skal være. Det næste skridt er at sikre, at den professionelle cybersikkerhedsprofessionelle i denne rolle har tilstrækkelig støtte og tilstrækkelig belønning til at ville blive der.

Tidsstempel:

Mere fra Vi lever sikkerhed