پول در اینجا متوقف می شود: مخاطرات برای CISO زیاد است

امنیت کسب و کار

حجم کار سنگین و شبح مسئولیت شخصی در قبال حوادث، رهبران امنیتی را تحت تأثیر قرار می دهد، به طوری که بسیاری از آنها به دنبال راه های خروج هستند. این برای دفاع سایبری شرکت ها چه معنایی دارد؟

فیل مونکستر

08 فوریه 2024  •  , 5 دقیقه خواندن

امنیت سایبری بالاخره رسید تبدیل شدن به یک موضوع در سطح هیئت مدیره. با توجه به نقش مهمی که مدیریت ریسک سایبری در تصمیم‌گیری استراتژیک بازی می‌کند، همان‌طور که باید باشد. ریسک سایبری اساساً یک ریسک تجاری اصلی با پتانسیل ایجاد یا است یک سازمان را بشکند. مطمئناً این تفکر پشت سر است قوانین نظارتی جدید در امریکا. 

اما با درک اهمیت آن، هیئت‌های مدیره و تنظیم‌کننده‌ها نیز فشار بیشتری بر CISO وارد می‌کنند، بدون اینکه لزوماً به آن‌ها شناسایی و پاداش مناسبی بدهند. نتیجه: استرس فزاینده، فرسودگی شغلی و نارضایتی. سه چهارم (75٪) CISO گفته می شود با افزایش هشت درصدی نسبت به سال گذشته، در معرض تغییر است. و 64 درصد از نقش خود راضی هستند که 10 درصد کاهش یافته است.

این چالش ها پیامدهای جدی برای امنیت سایبری در سازمان ها دارد. رسیدگی به آنها باید یک اولویت فوری باشد.

نقشی که به طور فزاینده ای استرس زا است

CISO ها همیشه شغل پر استرسی داشته اند. از جمله رانندگان اخیراً می توان به موارد زیر اشاره کرد:

• در حال جابجایی سطوح تهدید سایبری، که بسیاری از سازمان ها را در حالت آتش نشانی مداوم قرار می دهد
• صنعت کمبود مهارت ها که تیم های کلیدی را کم کار می کند
• حجم کاری بیش از حد به دلیل افزایش تقاضای اتاق هیئت مدیره
• کمبود منابع و بودجه کافی
• حجم کاری که CISO ها را مجبور می کند ساعت های طولانی کار کنند و تعطیلات را لغو کنند
• تحول دیجیتال، که به گسترش شرکت ادامه می دهد سطح حمله سایبری
• الزامات انطباق که هر سال به رشد خود ادامه می دهند

جای تعجب نیست که یک چهارم (24 درصد) از رهبران فناوری اطلاعات و امنیت جهانی هستند اعتراف کرده اند خوددرمانی برای کاهش استرس افزایش سطوح استرس نه تنها احتمال فرسودگی شغلی و/یا بازنشستگی پیش از موعد را افزایش نمی‌دهد، بلکه می‌تواند منجر به تصمیم‌گیری ضعیف شود (همانطور که اشاره شد این مطالعهبه عنوان مثال)، و همچنین بر مهارت های شناختی و توانایی تفکر منطقی تأثیر می گذارد. در واقع، پیشنهاد شده است که حتی پیش بینی یک روز پر استرس در آینده می تواند بر شناخت تأثیر بگذارد. حدود دو سوم (65%) از CISO اقرار کردن استرس ناشی از شغل توانایی آنها را برای عملکرد در محل کار به خطر انداخته است.

بررسی دقیق فشار CISO بیشتری را اعمال می کند

علاوه بر این استرس، نظارت‌های قانونی، قانونی و هیئت مدیره در ماه‌های اخیر مورد بررسی قرار گرفته است. سه رویداد اخیر آموزنده است:

• ممکن است 2023: CSO سابق اوبر، جو سالیوان محکوم شد پس از مجرم شناخته شدن دو جنایت مربوط به نقش او در تلاش برای پنهان کردن یک تخلف بزرگ در سال 2016، به سه سال زندان مشروط. حامیان ادعا می کنند که او توسط تراویس کالانیک، مدیرعامل وقت و کریگ کلارک، وکیل داخلی اوبر، قربانی شد. سالیوان در حال توضیح دادن که کالانیک پرداخت 100,000 دلاری جنجالی خود را به هکرها امضا کرده بود.
• اکتبر 2023: در ابتدا، SEC، SolarWinds CISO را شارژ کرد تیموتی براون به دلیل کم اهمیت جلوه دادن یا ناتوانی در افشای خطرات سایبری در حالی که اقدامات امنیتی شرکت را اغراق می کند. این شکایت به چندین اظهار نظر داخلی توسط براون اشاره دارد و ادعا می‌کند که او نتوانسته این نگرانی‌های جدی را در شرکت حل کند یا بالا ببرد.
• 2023 دسامبر: قوانین جدید گزارش SEC لازم‌الاجرا شود، و شرکت‌های فهرست‌شده عمومی را ملزم می‌کند تا حوادث سایبری «مادی» را ظرف چهار روز کاری پس از تعیین اهمیت گزارش کنند. شرکت‌ها همچنین باید سالانه فرآیندهای خود را برای ارزیابی، شناسایی و مدیریت ریسک و تأثیر هر حادثه توصیف کنند. و آنها باید نظارت هیئت مدیره بر ریسک سایبری و تخصص آن در ارزیابی و مدیریت چنین ریسکی را به تفصیل بیان کنند.

این فقط در ایالات متحده نیست که در آن نظارت نظارتی در حال ایجاد است. دستورالعمل جدید NIS2 که قرار است تا اکتبر 2024 به قوانین کشورهای عضو اتحادیه اروپا منتقل شود، مسئولیت مستقیمی را بر عهده هیئت مدیره برای تأیید اقدامات مدیریت ریسک سایبری و نظارت بر اجرای آنها می گذارد. همچنین در صورت سهل انگاری در موارد حوادث جدی، اعضای C-suite می توانند شخصاً مسئول باشند.

مطابق با جان اولتسیک، تحلیلگر گروه استراتژی سازمانی (EST).فشار فزاینده ای که چنین حرکاتی بر CISO ها وارد می کند، وظیفه اصلی آنها در پاسخ به تهدیدات و مدیریت ریسک سایبری را چالش برانگیزتر می کند. یک مطالعه اخیر ESG نشان می دهد که وظایفی مانند کار با هیئت مدیره، نظارت بر رعایت مقررات و مدیریت بودجه نقش CISO را از یک نقش فنی به کسب و کار محور تبدیل می کند. در همان زمان، وابستگی فزاینده به فناوری اطلاعات برای تقویت تحول دیجیتال و موفقیت در کسب و کار بسیار زیاد شده است. این نظرسنجی ادعا می کند که 65 درصد از CISO ها به دلیل استرس به ترک نقش خود فکر کرده اند.

غذای آماده برای CISO و هیئت مدیره

نکته اصلی این است که اگر CISO ها برای کنار آمدن با حجم کار و ترس از تلافی جویانه نظارتی و حتی مسئولیت کیفری برای اقدامات خود تلاش کنند، احتمالاً تصمیمات روزانه بدتری می گیرند. بسیاری حتی ممکن است این صنعت را ترک کنند. این می تواند تأثیر بسیار بدی بر یک بخش از قبل داشته باشد مبارزه با کمبود مهارت.

اما لازم نیست اینطور باشد. کارهایی وجود دارد که هم هیئت ها و هم سازمان های CISO آنها می توانند برای کاهش این وضعیت انجام دهند. این به نفع هر دوی آنهاست که راهی برای این کار پیدا کنند. موارد زیر را در نظر بگیرید:

• هیئت ها باید سلامت روانی، حجم کار، منابع و ساختارهای گزارش دهی CISO را ارزیابی کنند تا اثربخشی آنها را بهینه کنند. نرخ فرسایش بالا می تواند منجر به شکاف های طولانی بدون CISO تمام وقت شود، که تیم ها را بی انگیزه می کند و بر استراتژی امنیتی تأثیر می گذارد.
• هيئت‌ها بايد به CISO خود در راستاي ريسك بالايي كه نقش آنها در حال حاضر دارد، پاداش بدهند.
• تعامل منظم هیئت مدیره و CISO ضروری است، در صورت امکان خطوط گزارش مستقیم به مدیر عامل. این به بهبود ارتباط بین این دو و ارتقای جایگاه CISO در راستای مسئولیت‌های آنها کمک می‌کند.
• هيئت‌ها بايد در اختيار CISO خود قرار دهند بیمه مدیران و افسران (D&O). کمک کند تا آنها را از خطرات جدی محافظت کند.
• CISO ها باید به صنعتی که دوست دارند پایبند باشند و به جای فرار از آن، مسئولیت بیشتری را بپذیرند. اما آنها همچنین باید به خاطر داشته باشند که نقش آنها مشاوره و فراهم کردن زمینه برای هیئت مدیره است. اجازه دهید دیگران تماس های بزرگ برقرار کنند.
• سازمان های CISO همیشه باید شفافیت و باز بودن را در اولویت قرار دهند، به ویژه با تنظیم کننده ها.
• CISOها باید در مورد آنچه که در داخل منتشر می کنند آگاه باشند و اطمینان حاصل کنند که تصمیمات یا درخواست های بحث برانگیز از C-suite همیشه به صورت مکتوب ثبت می شوند.

هنگام یافتن یک نقش جدید، CISO باید یک وکیل شخصی استخدام کند تا قرارداد آینده آنها را با جزئیات انجام دهد.

برای بهینه‌سازی استراتژی امنیت سایبری، هیئت‌ها باید با ارزیابی مجدد آنچه که می‌خواهند نقش CISO باشد، شروع کنند. گام بعدی این است که اطمینان حاصل شود که متخصص امنیت سایبری در آن نقش از حمایت کافی و پاداش کافی برخوردار است تا بخواهد در آنجا بماند.