Επιχειρησιακή ασφάλεια
Ο μεγάλος φόρτος εργασίας και το φάσμα της προσωπικής ευθύνης για περιστατικά επηρεάζουν τους ηγέτες ασφαλείας, τόσο που πολλοί από αυτούς αναζητούν διεξόδους. Τι σημαίνει αυτό για την εταιρική άμυνα στον κυβερνοχώρο;
Φεβρουάριος 08 2024 • , 5 λεπτό. ανάγνωση
Η κυβερνοασφάλεια είναι επιτέλους να γίνει θέμα σε επίπεδο συμβουλίου. Αυτό είναι όπως θα έπρεπε, δεδομένου του ολοένα και πιο σημαντικού ρόλου που διαδραματίζει η διαχείριση του κυβερνοκινδύνου στη λήψη στρατηγικών αποφάσεων. Ο κίνδυνος στον κυβερνοχώρο είναι ουσιαστικά ένας βασικός επιχειρηματικός κίνδυνος με τη δυνατότητα να δημιουργήσει ή σπάσει έναν οργανισμό. Αυτή είναι σίγουρα η σκέψη πίσω νέους ρυθμιστικούς κανόνες στις Η.Π.Α.
Όμως, αναγνωρίζοντας τη σημασία του, τα διοικητικά συμβούλια και οι ρυθμιστικές αρχές ασκούν επίσης μεγαλύτερη πίεση στους CISO, χωρίς απαραίτητα να τους δίνουν την κατάλληλη αναγνώριση και ανταμοιβή. Το αποτέλεσμα: αυξανόμενο άγχος, εξάντληση και δυσαρέσκεια. Τα τρία τέταρτα (75%) των CISO λέγεται ότι είναι ανοιχτό σε μια αλλαγή, οκτώ ποσοστιαίες μονάδες σε σχέση με ένα χρόνο πριν. Και το 64% είναι ικανοποιημένο με τον ρόλο του, μειωμένο κατά 10%.
Αυτές οι προκλήσεις έχουν σοβαρές επιπτώσεις για την ασφάλεια στον κυβερνοχώρο εντός των οργανισμών. Η αντιμετώπισή τους πρέπει να είναι επείγουσα προτεραιότητα.
Ένας όλο και πιο αγχωτικός ρόλος
Οι CISO είχαν πάντα μια αγχωτική δουλειά. Μεταξύ των οδηγών πρόσφατα είναι:
- Ογκούμενος επίπεδα κυβερνοαπειλής, που αφήνουν πολλούς οργανισμούς σε συνεχή λειτουργία πυρόσβεσης
- Βιομηχανία ελλείψεις δεξιοτήτων που αφήνουν τις βασικές ομάδες υποστελεχωμένες
- Υπερβολικός φόρτος εργασίας λόγω αυξανόμενων απαιτήσεων στην αίθουσα συνεδριάσεων
- Έλλειψη επαρκών πόρων και χρηματοδότησης
- Φόρτος εργασίας που αναγκάζει τους CISO να εργάζονται πολλές ώρες και να ακυρώνουν τις διακοπές
- Ψηφιακός μετασχηματισμός, ο οποίος συνεχίζει να επεκτείνει την εταιρική επιφάνεια κυβερνοεπίθεσης
- Απαιτήσεις συμμόρφωσης που συνεχίζουν να αυξάνονται με κάθε χρόνο
Δεν αποτελεί έκπληξη το γεγονός ότι το ένα τέταρτο (24%) των παγκόσμιων ηγετών πληροφορικής και ασφάλειας έχουν παραδεχτεί σε αυτοθεραπεία για την ανακούφιση του στρες. Τα αυξανόμενα επίπεδα άγχους δεν αυξάνουν απλώς την πιθανότητα εξάντλησης και/ή πρόωρης συνταξιοδότησης – θα μπορούσαν να οδηγήσουν σε κακή λήψη αποφάσεων (όπως σημειώνεται από αυτή η μελέτη, για παράδειγμα), καθώς και επηρεάζουν τις γνωστικές δεξιότητες και την ικανότητα ορθολογικής σκέψης. Πράγματι, έχει προταθεί ότι ακόμη και η αναμονή μιας αγχωτικής ημέρας που θα ακολουθήσει μπορεί να επηρεάσει τη γνωστική λειτουργία. Περίπου τα δύο τρίτα (65%) των CISO ομολογώ ότι το άγχος που σχετίζεται με την εργασία έχει θέσει σε κίνδυνο την ικανότητά τους να αποδίδουν στην εργασία.
Ο έλεγχος ασκεί περαιτέρω πίεση CISO
Πάνω από αυτό το βασικό άγχος ήρθε ο πρόσθετος ρυθμιστικός, νομικός και διοικητικός έλεγχος τους τελευταίους μήνες. Τρία πρόσφατα γεγονότα είναι διδακτικά:
- Μπορεί 2023: Πρώην CSO της Uber, Ο Τζο Σάλιβαν καταδικάστηκε σε τρία χρόνια αναστολή αφού κρίθηκε ένοχος για δύο κακουργήματα που σχετίζονται με τον ρόλο του σε απόπειρα συγκάλυψης μιας μεγάλης παραβίασης του 2016. Οι υποστηρικτές του ισχυρίζονται ότι καταδικάστηκε από τον τότε διευθύνοντα σύμβουλο Travis Kalanick και τον δικηγόρο της Uber Craig Clark, με Ο Σάλιβαν εξηγεί ότι ο Kalanick είχε υπογράψει την αμφιλεγόμενη πληρωμή των 100,000 δολαρίων στους χάκερ.
- Οκτώβριος 2023: Σε ένα πρώτο, το Η SEC χρέωσε την SolarWinds CISO Timothy Brown για υποβάθμιση ή αποτυχία αποκάλυψης του κινδύνου στον κυβερνοχώρο, ενώ υπερεκτίμησε τις πρακτικές ασφάλειας της εταιρείας. Η καταγγελία αναφέρεται σε πολλά εσωτερικά σχόλια του Μπράουν και ισχυρίζεται ότι απέτυχε να επιλύσει ή να υποστηρίξει αυτές τις σοβαρές ανησυχίες εντός της εταιρείας.
- 2023 Δεκέμβριος: Νέοι κανόνες αναφοράς SEC τίθενται σε ισχύ, απαιτώντας από τις εισηγμένες στο χρηματιστήριο εταιρείες να αναφέρουν «ουσιώδη» περιστατικά στον κυβερνοχώρο εντός τεσσάρων εργάσιμων ημερών από τον προσδιορισμό της ουσιαστικότητας. Οι εταιρείες θα πρέπει επίσης να περιγράφουν ετησίως τις διαδικασίες τους για την αξιολόγηση, τον εντοπισμό και τη διαχείριση του κινδύνου και των επιπτώσεων τυχόν συμβάντων. Και θα πρέπει να αναφέρουν λεπτομερώς την εποπτεία του κινδύνου στον κυβερνοχώρο και την τεχνογνωσία του στην αξιολόγηση και διαχείριση αυτού του κινδύνου.
Δεν είναι μόνο στις ΗΠΑ όπου οικοδομείται η ρυθμιστική εποπτεία. Η νέα οδηγία NIS2 που πρόκειται να μεταφερθεί στη νομοθεσία των κρατών μελών της ΕΕ έως τον Οκτώβριο του 2024 αναθέτει την άμεση ευθύνη στο διοικητικό συμβούλιο να εγκρίνει μέτρα διαχείρισης κινδύνων στον κυβερνοχώρο και να επιβλέπει την εφαρμογή τους. Τα μέλη της C-suite μπορούν επίσης να θεωρηθούν προσωπικά υπεύθυνα σε περίπτωση που διαπιστωθεί αμέλεια σε περιπτώσεις σοβαρών περιστατικών.
Σύμφωνα με Ο αναλυτής του Enterprise Strategy Group (EST) Jon Oltsik, η αυξανόμενη πίεση που ασκούν τέτοιες κινήσεις στους CISO καθιστά την κύρια δουλειά τους να ανταποκρίνονται σε απειλές και να διαχειρίζονται τον κίνδυνο στον κυβερνοχώρο πιο δύσκολη. Μια πρόσφατη μελέτη ESG αποκαλύπτει ότι καθήκοντα όπως η συνεργασία με το διοικητικό συμβούλιο, η επίβλεψη της κανονιστικής συμμόρφωσης και η διαχείριση ενός προϋπολογισμού μετατρέπουν τον ρόλο του CISO από τεχνικό σε επιχειρηματικό. Ταυτόχρονα, η αυξανόμενη εξάρτηση από την πληροφορική για την ενίσχυση του ψηφιακού μετασχηματισμού και της επιχειρηματικής επιτυχίας έχει γίνει συντριπτική. Η έρευνα υποστηρίζει ότι το 65% των CISO έχουν σκεφτεί να εγκαταλείψουν τον ρόλο τους λόγω άγχους.
Φαγητό σε πακέτο για CISO και συμβούλια
Το συμπέρασμα είναι ότι εάν οι CISO αγωνίζονται να αντεπεξέλθουν στον φόρτο εργασίας και φοβούμενοι τα ρυθμιστικά αντίποινα και ακόμη και την ποινική ευθύνη για τις ενέργειές τους, είναι πιθανό να λαμβάνουν χειρότερες καθημερινές αποφάσεις. Πολλοί μπορεί ακόμη και να εγκαταλείψουν τη βιομηχανία. Αυτό θα είχε εξαιρετικά κακό αντίκτυπο σε έναν τομέα ήδη αγωνίζονται με ελλείψεις δεξιοτήτων.
Αλλά δεν χρειάζεται να είναι έτσι. Υπάρχουν πράγματα που μπορούν να κάνουν τόσο τα διοικητικά συμβούλια όσο και οι CISO τους για να ανακουφίσουν την κατάσταση. Είναι προς το συμφέρον και των δύο να βρουν έναν τρόπο να το αντιμετωπίσουν. Σκέψου τα ακόλουθα:
- Τα συμβούλια πρέπει να αξιολογούν την ψυχική υγεία, τον φόρτο εργασίας, τους πόρους και τις δομές αναφοράς των CISO για να βελτιστοποιήσουν την αποτελεσματικότητά τους. Τα υψηλά ποσοστά φθοράς μπορούν να οδηγήσουν σε μεγάλα κενά χωρίς CISO πλήρους απασχόλησης, γεγονός που αποθαρρύνει τις ομάδες και επηρεάζει τη στρατηγική ασφάλειας.
- Τα διοικητικά συμβούλια θα πρέπει να αμείβουν τους CISO τους σύμφωνα με τον αυξημένο κίνδυνο που συνεπάγεται τώρα ο ρόλος τους.
- Η τακτική δέσμευση του διοικητικού συμβουλίου-CISO είναι απαραίτητη, με απευθείας γραμμές αναφοράς στον Διευθύνοντα Σύμβουλο εάν είναι δυνατόν. Αυτό θα βοηθήσει στη βελτίωση της επικοινωνίας μεταξύ των δύο και στην ανύψωση της θέσης του CISO σύμφωνα με τις ευθύνες τους.
- Τα συμβούλια πρέπει να παρέχουν στους CISO τους ασφάλιση διευθυντών και αξιωματικών (D&O). για να τους βοηθήσει να απομονωθούν από σοβαρούς κινδύνους.
- Οι CISO θα πρέπει να παραμείνουν στη βιομηχανία που αγαπούν και να αναλάβουν μεγαλύτερη ευθύνη αντί να ξεφύγουν από αυτήν. Αλλά πρέπει επίσης να θυμούνται ότι ο ρόλος τους είναι να συμβουλεύουν και να παρέχουν το πλαίσιο για το διοικητικό συμβούλιο. Αφήστε άλλους να κάνουν τις μεγάλες κλήσεις.
- Οι CISO θα πρέπει πάντα να δίνουν προτεραιότητα στη διαφάνεια και τη διαφάνεια, ειδικά με τις ρυθμιστικές αρχές.
- Οι CISO θα πρέπει να προσέχουν τι κυκλοφορούν εσωτερικά και να διασφαλίζουν ότι οι αμφιλεγόμενες αποφάσεις ή τα αιτήματα από το C-suite καταγράφονται πάντα γραπτώς.
Κατά την εύρεση ενός νέου ρόλου, οι CISO θα πρέπει να προσλάβουν έναν προσωπικό δικηγόρο για να εκτελέσουν λεπτομερώς το μελλοντικό συμβόλαιό τους.
Για τη βελτιστοποίηση της στρατηγικής για την ασφάλεια στον κυβερνοχώρο, τα διοικητικά συμβούλια θα πρέπει να ξεκινήσουν επανεκτιμώντας ποιος θέλουν να είναι ο ρόλος του CISO. Το επόμενο βήμα είναι να διασφαλίσετε ότι ο επαγγελματίας της κυβερνοασφάλειας σε αυτόν τον ρόλο θα έχει αρκετή υποστήριξη και επαρκή ανταμοιβή για να θέλει να παραμείνει εκεί.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.welivesecurity.com/en/business-security/buck-stops-stakes-high-cisos/
- :έχει
- :είναι
- :δεν
- :που
- $UP
- 000
- 2016
- 2023
- 2024
- 35%
- 91
- a
- ικανότητα
- Σχετικα
- ενεργειών
- διευθυνσιοδότηση
- επαρκής
- συμβουλεύουν
- Μετά το
- πριν
- εμπρός
- ανακουφίζω
- ήδη
- Επίσης
- πάντοτε
- μεταξύ των
- an
- αναλυτής
- και
- Ετησίως
- πρόβλεψη
- κάθε
- εγκρίνω
- ΕΙΝΑΙ
- AS
- εκτιμώ
- Αξιολόγηση
- At
- προσπάθεια
- τριβή
- μακριά
- Baseline
- BE
- γίνονται
- ήταν
- πίσω
- είναι
- ΚΑΛΎΤΕΡΟΣ
- μεταξύ
- Μεγάλος
- επιτροπή
- και οι δύο
- Κάτω μέρος
- καστανός
- προϋπολογισμός
- Κτίριο
- επαγγελματική εξουθένωση
- επιχείρηση
- αλλά
- by
- C-σουίτα
- κλήσεις
- CAN
- περιπτώσεις
- κατηγορία
- Διευθύνων Σύμβουλος
- σίγουρα
- προκλήσεις
- πρόκληση
- αλλαγή
- φορτισμένα
- CISO
- ισχυρισμός
- αξιώσεις
- νόηση
- γνωστική
- Ελάτε
- σχόλια
- Επικοινωνία
- εταίρα
- καταγγελία
- Συμμόρφωση
- Συμβιβασμένος
- Πιθανά ερωτήματα
- Εξετάστε
- θεωρούνται
- συμφραζόμενα
- ΣΥΝΕΧΕΙΑ
- συνεχίζεται
- συνεχής
- σύμβαση
- αμφιλεγόμενος
- πυρήνας
- Εταιρικές εκδηλώσεις
- θα μπορούσε να
- κάλυψη
- Craig
- εγκληματίας
- στον κυβερνοχώρο
- Κυβερνασφάλεια
- ημέρα
- από μέρα σε μέρα
- Ημ.
- απόφαση
- Λήψη Αποφάσεων
- αποφάσεις
- εξάρτηση
- περιγράφουν
- λεπτομέρεια
- προσδιορισμός
- ψηφιακό
- ψηφιακή Μετασχηματισμού
- κατευθύνει
- Αποκαλύπτω
- do
- κάνει
- Όχι
- Μην
- κάτω
- οδηγοί
- δυο
- κάθε
- Νωρίς
- αποτελεσματικότητα
- οκτώ
- ELEVATE
- αυξημένα
- αγκαλιάζω
- δέσμευση
- αρκετά
- εξασφαλίζω
- ΕΙΝΑΙ Γ
- ειδικά
- ουσιώδης
- EU
- Even
- εκδηλώσεις
- παράδειγμα
- εξόδους
- Ανάπτυξη
- εξειδίκευση
- επιπλέον
- Απέτυχε
- παραλείποντας
- φόβος
- Φεβρουάριος
- Τελικά
- Εύρεση
- εύρεση
- επιχειρήσεις
- Όνομα
- Εξής
- Για
- Δύναμη
- Δυνάμεις
- Πρώην
- Βρέθηκαν
- τέσσερα
- από
- θεμελιωδώς
- περαιτέρω
- κενά
- δεδομένου
- Δίνοντας
- Παγκόσμιο
- Go
- μεγαλύτερη
- Group
- Grow
- Μεγαλώνοντας
- ένοχος
- χάκερ
- είχε
- Έχω
- he
- Υγεία
- Ήρωας
- βοήθεια
- εδώ
- Ψηλά
- ενοικίαση
- του
- ΩΡΕΣ
- HTML
- HTTPS
- Τεράστια
- προσδιορισμό
- if
- Επίπτωση
- Επιπτώσεις
- εκτέλεση
- επιπτώσεις
- σπουδαιότητα
- σημαντικό
- βελτίωση
- in
- Αυξάνουν
- αύξηση
- όλο και περισσότερο
- πράγματι
- βιομηχανία
- συμφέροντα
- εσωτερικός
- εσωτερικώς
- σε
- IT
- ΤΟΥ
- Δουλειά
- jon
- jpg
- μόλις
- Δικαιοσύνη
- Κλειδί
- Έλλειψη
- Νόμος
- δικηγόρος
- οδηγήσει
- ηγέτες
- Άδεια
- αφήνοντας
- Νομικά
- ας
- επίπεδα
- ευθύνη
- πιθανότητα
- Πιθανός
- γραμμή
- γραμμές
- Εισηγμένες
- Μακριά
- ματιά
- αγάπη
- που
- κάνω
- Κατασκευή
- διαχείριση
- διαχείριση
- πολοί
- max-width
- Ενδέχεται..
- εννοώ
- μέτρα
- μέλος
- Μέλη
- ψυχική
- Ψυχική υγεία
- πρακτικά
- μήνες
- περισσότερο
- κινήσεις
- πολύ
- πρέπει
- αναγκαίως
- Ανάγκη
- Νέα
- επόμενη
- Όχι.
- Σημειώνεται
- τώρα
- Οκτώβριος
- of
- off
- αξιωματικών
- on
- ONE
- ανοίξτε
- Ειλικρίνεια
- Βελτιστοποίηση
- or
- οργανώσεις
- Άλλα
- επί
- επιβλέπω
- εποπτεία
- Επίβλεψη
- συντριπτική
- Πέρασμα
- πληρωμή
- ποσοστό
- Εκτελέστε
- προσωπικός
- Προσωπικά
- ΦΙΛ
- διάθεση
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- παίζει
- σημεία
- φτωχός
- θέση
- δυνατός
- δυναμικού
- δύναμη
- πρακτικές
- χυτρα
- Δώστε προτεραιότητα
- προτεραιότητα
- Διεργασίες
- επαγγελματίας
- υποψήφιος
- παρέχουν
- δημοσίως
- δημοσιεύεται δημόσια
- Βάζει
- Τέταρτο
- Τιμές
- μάλλον
- πρόσφατος
- πρόσφατα
- αναγνώριση
- αναγνωρίζοντας
- καταγράφονται
- αναφέρεται
- Ρυθμιστικών Αρχών
- ρυθμιστές
- Κανονιστική Συμμόρφωση
- κανονιστική εποπτεία
- σχετίζεται με
- θυμάμαι
- αναφέρουν
- Αναφορά
- αιτήματα
- απαιτήσεις
- επίλυση
- Υποστηρικτικό υλικό
- απαντώντας
- ευθυνών
- ευθύνη
- αποτέλεσμα
- συνταξιοδότηση
- Αποκαλύπτει
- Ανταμοιβή
- Κίνδυνος
- διαχείριση των κινδύνων
- Ρόλος
- τρέξιμο
- s
- Είπε
- ίδιο
- ικανοποιημένοι
- ικανοποιημένος με
- λεπτομερής έλεγχος
- SEC
- τομέας
- ασφάλεια
- σοβαρός
- σειρά
- διάφοροι
- θα πρέπει να
- υπογραφεί
- κατάσταση
- δεξιότητες
- So
- SolarWinds
- μερικοί
- φάντασμα
- πονταρίσματα
- Εκκίνηση
- Μελών
- παραμονή
- Βήμα
- Διακόπτει
- Στρατηγική
- Στρατηγική
- στρες
- δομές
- Παλεύοντας
- Μελέτη
- επιτυχία
- τέτοιος
- επαρκής
- κατάλληλος
- Sullivan
- υποστήριξη
- υποστηρικτές
- ογκούμενος
- έκπληξη
- Έρευνες
- Πάρτε
- εργασίες
- ομάδες
- Τεχνικός
- από
- ότι
- Η
- τους
- Τους
- Εκεί.
- Αυτοί
- αυτοί
- πράγματα
- νομίζω
- Σκέψη
- αυτό
- απειλές
- τρία
- Μέσω
- ώρα
- Τίτλος
- προς την
- κορυφή
- Μεταμόρφωση
- Διαφάνεια
- Στροφή
- δύο
- δυο τριτα
- Uber
- επείγων
- us
- θέλω
- ήταν
- Τρόπος..
- ΛΟΙΠΌΝ
- Τι
- Ποιό
- ενώ
- WHY
- πλάτος
- θα
- με
- εντός
- χωρίς
- Εργασία
- εργαζόμενος
- χειρότερος
- θα
- γραφή
- έτος
- zephyrnet