Το χρηματικό ποσό σταματά εδώ: Το διακύβευμα είναι υψηλό για τους CISO

Επιχειρησιακή ασφάλεια

Ο μεγάλος φόρτος εργασίας και το φάσμα της προσωπικής ευθύνης για περιστατικά επηρεάζουν τους ηγέτες ασφαλείας, τόσο που πολλοί από αυτούς αναζητούν διεξόδους. Τι σημαίνει αυτό για την εταιρική άμυνα στον κυβερνοχώρο;

Φιλ Μάνκαστερ

Φεβρουάριος 08 2024  •  , 5 λεπτό. ανάγνωση

Η κυβερνοασφάλεια είναι επιτέλους να γίνει θέμα σε επίπεδο συμβουλίου. Αυτό είναι όπως θα έπρεπε, δεδομένου του ολοένα και πιο σημαντικού ρόλου που διαδραματίζει η διαχείριση του κυβερνοκινδύνου στη λήψη στρατηγικών αποφάσεων. Ο κίνδυνος στον κυβερνοχώρο είναι ουσιαστικά ένας βασικός επιχειρηματικός κίνδυνος με τη δυνατότητα να δημιουργήσει ή σπάσει έναν οργανισμό. Αυτή είναι σίγουρα η σκέψη πίσω νέους ρυθμιστικούς κανόνες στις Η.Π.Α. 

Όμως, αναγνωρίζοντας τη σημασία του, τα διοικητικά συμβούλια και οι ρυθμιστικές αρχές ασκούν επίσης μεγαλύτερη πίεση στους CISO, χωρίς απαραίτητα να τους δίνουν την κατάλληλη αναγνώριση και ανταμοιβή. Το αποτέλεσμα: αυξανόμενο άγχος, εξάντληση και δυσαρέσκεια. Τα τρία τέταρτα (75%) των CISO λέγεται ότι είναι ανοιχτό σε μια αλλαγή, οκτώ ποσοστιαίες μονάδες σε σχέση με ένα χρόνο πριν. Και το 64% είναι ικανοποιημένο με τον ρόλο του, μειωμένο κατά 10%.

Αυτές οι προκλήσεις έχουν σοβαρές επιπτώσεις για την ασφάλεια στον κυβερνοχώρο εντός των οργανισμών. Η αντιμετώπισή τους πρέπει να είναι επείγουσα προτεραιότητα.

Ένας όλο και πιο αγχωτικός ρόλος

Οι CISO είχαν πάντα μια αγχωτική δουλειά. Μεταξύ των οδηγών πρόσφατα είναι:

• Ογκούμενος επίπεδα κυβερνοαπειλής, που αφήνουν πολλούς οργανισμούς σε συνεχή λειτουργία πυρόσβεσης
• Βιομηχανία ελλείψεις δεξιοτήτων που αφήνουν τις βασικές ομάδες υποστελεχωμένες
• Υπερβολικός φόρτος εργασίας λόγω αυξανόμενων απαιτήσεων στην αίθουσα συνεδριάσεων
• Έλλειψη επαρκών πόρων και χρηματοδότησης
• Φόρτος εργασίας που αναγκάζει τους CISO να εργάζονται πολλές ώρες και να ακυρώνουν τις διακοπές
• Ψηφιακός μετασχηματισμός, ο οποίος συνεχίζει να επεκτείνει την εταιρική επιφάνεια κυβερνοεπίθεσης
• Απαιτήσεις συμμόρφωσης που συνεχίζουν να αυξάνονται με κάθε χρόνο

Δεν αποτελεί έκπληξη το γεγονός ότι το ένα τέταρτο (24%) των παγκόσμιων ηγετών πληροφορικής και ασφάλειας έχουν παραδεχτεί σε αυτοθεραπεία για την ανακούφιση του στρες. Τα αυξανόμενα επίπεδα άγχους δεν αυξάνουν απλώς την πιθανότητα εξάντλησης και/ή πρόωρης συνταξιοδότησης – θα μπορούσαν να οδηγήσουν σε κακή λήψη αποφάσεων (όπως σημειώνεται από αυτή η μελέτη, για παράδειγμα), καθώς και επηρεάζουν τις γνωστικές δεξιότητες και την ικανότητα ορθολογικής σκέψης. Πράγματι, έχει προταθεί ότι ακόμη και η αναμονή μιας αγχωτικής ημέρας που θα ακολουθήσει μπορεί να επηρεάσει τη γνωστική λειτουργία. Περίπου τα δύο τρίτα (65%) των CISO ομολογώ ότι το άγχος που σχετίζεται με την εργασία έχει θέσει σε κίνδυνο την ικανότητά τους να αποδίδουν στην εργασία.

Ο έλεγχος ασκεί περαιτέρω πίεση CISO

Πάνω από αυτό το βασικό άγχος ήρθε ο πρόσθετος ρυθμιστικός, νομικός και διοικητικός έλεγχος τους τελευταίους μήνες. Τρία πρόσφατα γεγονότα είναι διδακτικά:

• Μπορεί 2023: Πρώην CSO της Uber, Ο Τζο Σάλιβαν καταδικάστηκε σε τρία χρόνια αναστολή αφού κρίθηκε ένοχος για δύο κακουργήματα που σχετίζονται με τον ρόλο του σε απόπειρα συγκάλυψης μιας μεγάλης παραβίασης του 2016. Οι υποστηρικτές του ισχυρίζονται ότι καταδικάστηκε από τον τότε διευθύνοντα σύμβουλο Travis Kalanick και τον δικηγόρο της Uber Craig Clark, με Ο Σάλιβαν εξηγεί ότι ο Kalanick είχε υπογράψει την αμφιλεγόμενη πληρωμή των 100,000 δολαρίων στους χάκερ.
• Οκτώβριος 2023: Σε ένα πρώτο, το Η SEC χρέωσε την SolarWinds CISO Timothy Brown για υποβάθμιση ή αποτυχία αποκάλυψης του κινδύνου στον κυβερνοχώρο, ενώ υπερεκτίμησε τις πρακτικές ασφάλειας της εταιρείας. Η καταγγελία αναφέρεται σε πολλά εσωτερικά σχόλια του Μπράουν και ισχυρίζεται ότι απέτυχε να επιλύσει ή να υποστηρίξει αυτές τις σοβαρές ανησυχίες εντός της εταιρείας.
• 2023 Δεκέμβριος: Νέοι κανόνες αναφοράς SEC τίθενται σε ισχύ, απαιτώντας από τις εισηγμένες στο χρηματιστήριο εταιρείες να αναφέρουν «ουσιώδη» περιστατικά στον κυβερνοχώρο εντός τεσσάρων εργάσιμων ημερών από τον προσδιορισμό της ουσιαστικότητας. Οι εταιρείες θα πρέπει επίσης να περιγράφουν ετησίως τις διαδικασίες τους για την αξιολόγηση, τον εντοπισμό και τη διαχείριση του κινδύνου και των επιπτώσεων τυχόν συμβάντων. Και θα πρέπει να αναφέρουν λεπτομερώς την εποπτεία του κινδύνου στον κυβερνοχώρο και την τεχνογνωσία του στην αξιολόγηση και διαχείριση αυτού του κινδύνου.

Δεν είναι μόνο στις ΗΠΑ όπου οικοδομείται η ρυθμιστική εποπτεία. Η νέα οδηγία NIS2 που πρόκειται να μεταφερθεί στη νομοθεσία των κρατών μελών της ΕΕ έως τον Οκτώβριο του 2024 αναθέτει την άμεση ευθύνη στο διοικητικό συμβούλιο να εγκρίνει μέτρα διαχείρισης κινδύνων στον κυβερνοχώρο και να επιβλέπει την εφαρμογή τους. Τα μέλη της C-suite μπορούν επίσης να θεωρηθούν προσωπικά υπεύθυνα σε περίπτωση που διαπιστωθεί αμέλεια σε περιπτώσεις σοβαρών περιστατικών.

Σύμφωνα με Ο αναλυτής του Enterprise Strategy Group (EST) Jon Oltsik, η αυξανόμενη πίεση που ασκούν τέτοιες κινήσεις στους CISO καθιστά την κύρια δουλειά τους να ανταποκρίνονται σε απειλές και να διαχειρίζονται τον κίνδυνο στον κυβερνοχώρο πιο δύσκολη. Μια πρόσφατη μελέτη ESG αποκαλύπτει ότι καθήκοντα όπως η συνεργασία με το διοικητικό συμβούλιο, η επίβλεψη της κανονιστικής συμμόρφωσης και η διαχείριση ενός προϋπολογισμού μετατρέπουν τον ρόλο του CISO από τεχνικό σε επιχειρηματικό. Ταυτόχρονα, η αυξανόμενη εξάρτηση από την πληροφορική για την ενίσχυση του ψηφιακού μετασχηματισμού και της επιχειρηματικής επιτυχίας έχει γίνει συντριπτική. Η έρευνα υποστηρίζει ότι το 65% των CISO έχουν σκεφτεί να εγκαταλείψουν τον ρόλο τους λόγω άγχους.

Φαγητό σε πακέτο για CISO και συμβούλια

Το συμπέρασμα είναι ότι εάν οι CISO αγωνίζονται να αντεπεξέλθουν στον φόρτο εργασίας και φοβούμενοι τα ρυθμιστικά αντίποινα και ακόμη και την ποινική ευθύνη για τις ενέργειές τους, είναι πιθανό να λαμβάνουν χειρότερες καθημερινές αποφάσεις. Πολλοί μπορεί ακόμη και να εγκαταλείψουν τη βιομηχανία. Αυτό θα είχε εξαιρετικά κακό αντίκτυπο σε έναν τομέα ήδη αγωνίζονται με ελλείψεις δεξιοτήτων.

Αλλά δεν χρειάζεται να είναι έτσι. Υπάρχουν πράγματα που μπορούν να κάνουν τόσο τα διοικητικά συμβούλια όσο και οι CISO τους για να ανακουφίσουν την κατάσταση. Είναι προς το συμφέρον και των δύο να βρουν έναν τρόπο να το αντιμετωπίσουν. Σκέψου τα ακόλουθα:

• Τα συμβούλια πρέπει να αξιολογούν την ψυχική υγεία, τον φόρτο εργασίας, τους πόρους και τις δομές αναφοράς των CISO για να βελτιστοποιήσουν την αποτελεσματικότητά τους. Τα υψηλά ποσοστά φθοράς μπορούν να οδηγήσουν σε μεγάλα κενά χωρίς CISO πλήρους απασχόλησης, γεγονός που αποθαρρύνει τις ομάδες και επηρεάζει τη στρατηγική ασφάλειας.
• Τα διοικητικά συμβούλια θα πρέπει να αμείβουν τους CISO τους σύμφωνα με τον αυξημένο κίνδυνο που συνεπάγεται τώρα ο ρόλος τους.
• Η τακτική δέσμευση του διοικητικού συμβουλίου-CISO είναι απαραίτητη, με απευθείας γραμμές αναφοράς στον Διευθύνοντα Σύμβουλο εάν είναι δυνατόν. Αυτό θα βοηθήσει στη βελτίωση της επικοινωνίας μεταξύ των δύο και στην ανύψωση της θέσης του CISO σύμφωνα με τις ευθύνες τους.
• Τα συμβούλια πρέπει να παρέχουν στους CISO τους ασφάλιση διευθυντών και αξιωματικών (D&O). για να τους βοηθήσει να απομονωθούν από σοβαρούς κινδύνους.
• Οι CISO θα πρέπει να παραμείνουν στη βιομηχανία που αγαπούν και να αναλάβουν μεγαλύτερη ευθύνη αντί να ξεφύγουν από αυτήν. Αλλά πρέπει επίσης να θυμούνται ότι ο ρόλος τους είναι να συμβουλεύουν και να παρέχουν το πλαίσιο για το διοικητικό συμβούλιο. Αφήστε άλλους να κάνουν τις μεγάλες κλήσεις.
• Οι CISO θα πρέπει πάντα να δίνουν προτεραιότητα στη διαφάνεια και τη διαφάνεια, ειδικά με τις ρυθμιστικές αρχές.
• Οι CISO θα πρέπει να προσέχουν τι κυκλοφορούν εσωτερικά και να διασφαλίζουν ότι οι αμφιλεγόμενες αποφάσεις ή τα αιτήματα από το C-suite καταγράφονται πάντα γραπτώς.

Κατά την εύρεση ενός νέου ρόλου, οι CISO θα πρέπει να προσλάβουν έναν προσωπικό δικηγόρο για να εκτελέσουν λεπτομερώς το μελλοντικό συμβόλαιό τους.

Για τη βελτιστοποίηση της στρατηγικής για την ασφάλεια στον κυβερνοχώρο, τα διοικητικά συμβούλια θα πρέπει να ξεκινήσουν επανεκτιμώντας ποιος θέλουν να είναι ο ρόλος του CISO. Το επόμενο βήμα είναι να διασφαλίσετε ότι ο επαγγελματίας της κυβερνοασφάλειας σε αυτόν τον ρόλο θα έχει αρκετή υποστήριξη και επαρκή ανταμοιβή για να θέλει να παραμείνει εκεί.