Vastuu loppuu tähän: CISO:n panokset ovat korkeat

Vastuu loppuu tähän: CISO:n panokset ovat korkeat

Aikaleima: 8. helmikuuta 2024 5

Liiketoiminnan turvallisuus

Raskas työtaakka ja henkilökohtaisen vastuun haamu vaaratilanteista rasittavat turvallisuusjohtajia niin paljon, että monet heistä etsivät ulospääsyä. Mitä tämä tarkoittaa yritysten kyberpuolustukselle?

Phil Muncaster

Phil Muncaster

08 Helmikuu 2024  •  , 5 min. lukea

Vastuu pysähtyy tähän: Miksi CISO:n panokset ovat korkeat

Kyberturvallisuus on vihdoin tulossa hallitustason ongelmaksi. Näin sen pitääkin olla, kun otetaan huomioon kyberriskien hallinnan yhä tärkeämpi rooli strategisessa päätöksenteossa. Kyberriski on pohjimmiltaan ydinliiketoiminnan riski, joka voi aiheuttaa tai rikkoa organisaation. Se on varmasti taustalla oleva ajatus uusia sääntelysääntöjä Yhdysvalloissa. 

Mutta tunnustamalla sen tärkeyden hallitukset ja sääntelijät lisäävät painetta CISO:ille ilman, että niille välttämättä myönnetään asianmukaista tunnustusta ja palkkiota. Seurauksena on lisääntyvä stressi, uupumus ja tyytymättömyys. Kolme neljäsosaa (75 %) CISO:sta sanotaan olevan muutokselle avoin, kahdeksan prosenttiyksikköä enemmän kuin vuosi sitten. Ja 64 % on tyytyväisiä rooliinsa, laskua 10 %.

Näillä haasteilla on vakavia vaikutuksia organisaatioiden kyberturvallisuuteen. Niihin puuttumisen pitäisi olla kiireellinen prioriteetti.

Yhä stressaavampi rooli

CISO:lla on aina ollut stressaavaa työtä. Viimeaikaisten kuljettajien joukossa ovat:

  • kuohunta kyberuhan tasoa, jotka jättävät monet organisaatiot jatkuvaan palontorjuntatilaan
  • Teollisuus osaamisesta pulaa mikä jättää avaintiimeille liian vähän henkilökuntaa
  • Liiallinen työmäärä kasvavien kokoushuonetarpeiden vuoksi
  • Riittävien resurssien ja rahoituksen puute
  • Työtaakka, joka pakottaa CISO:t työskentelemään pitkiä päiviä ja peruuttamaan lomia
  • Digitaalinen muutos, joka jatkaa yrityksen laajentamista kyberhyökkäyspinta
  • Vaatimustenmukaisuus, jotka kasvavat vuosi vuodelta

Ei ole yllätys, että neljännes (24 %) maailmanlaajuisista IT- ja tietoturvajohtajista ovat myöntäneet itsehoitoon stressin lievittämiseksi. Kasvavat stressitasot eivät vain lisää loppuunuutumisen ja/tai varhaiseläkkeelle jäämisen todennäköisyyttä – ne voivat johtaa huonoon päätöksentekoon (kuten Tässä tutkimuksessaesimerkiksi) sekä vaikuttavat kognitiivisiin taitoihin ja kykyyn ajatella rationaalisesti. Todellakin, on ehdotettu, että jopa tulevan stressaavan päivän ennakointi voi vaikuttaa kognitioon. Noin kaksi kolmasosaa (65 %) CISO:sta myöntää että työhön liittyvä stressi on heikentänyt heidän kykyään suoriutua työssä.

Tarkkailu lisää CISO-painetta

Tämän stressin perustilanteen lisäksi on viime kuukausina tullut ylimääräistä sääntelyä, oikeudellista ja hallituksen valvontaa. Kolme viimeaikaista tapahtumaa ovat opettavaisia:

  • Toukokuu 2023: Entinen Uber CSO, Joe Sullivan tuomittiin kolmeksi vuodeksi koeajalle sen jälkeen, kun hänet todettiin syylliseksi kahdesta rikoksesta, jotka liittyivät hänen rooliinsa vuoden 2016 suurloukkauksen peittelyyrityksessä. Kannattajat väittävät, että silloinen toimitusjohtaja Travis Kalanick ja talon Uber-lakimies Craig Clark joutuivat syntipukkiin. Sullivan selittää että Kalanick oli allekirjoittanut kiistanalaisen 100,000 XNUMX dollarin maksun hakkereille.
  • Lokakuu 2023: Ensimmäisessä, SEC-ladattu SolarWinds CISO Timothy Brownin kyberriskin vähättelystä tai paljastamatta jättämisestä samalla kun liioitteli yrityksen turvallisuuskäytäntöjä. Valituksessa viitataan useisiin Brownin esittämiin sisäisiin kommentteihin ja väitetään, että hän ei onnistunut ratkaisemaan tai nostamaan näitä vakavia huolenaiheita yrityksessä.
  • Joulukuu 2023: Uudet SEC-raportointisäännöt astuvat voimaan ja vaativat julkisesti noteerattuja yrityksiä raportoimaan "olennaisista" kybertapahtumista neljän arkipäivän kuluessa olennaisuuden toteamisesta. Yritysten tulee myös kuvata vuosittain prosessinsa riskien ja tapahtumien vaikutusten arvioimiseksi, tunnistamiseksi ja hallitsemiseksi. Heidän on myös esitettävä yksityiskohtaisesti kyberriskien valvonta ja sen asiantuntemus tällaisten riskien arvioinnissa ja hallinnassa.

Se ei ole vain Yhdysvalloissa, missä sääntelyn valvonta rakentuu. Uusi NIS2-direktiivi, joka on määrä saattaa osaksi EU:n jäsenvaltioiden lainsäädäntöä lokakuuhun 2024 mennessä, asettaa hallitukselle suoran vastuun kyberriskien hallintatoimenpiteiden hyväksymisestä ja niiden täytäntöönpanon valvonnasta. C-sarjan jäsenet voidaan myös saattaa henkilökohtaisesti vastuuseen, jos ne havaitaan laiminlyönneiksi vakavissa tapahtumissa.

Mukaan Enterprise Strategy Groupin (EST) analyytikko Jon Oltsik, tällaisten toimien lisääntyvä paine CISO:lle tekee heidän ydintehtävästään vastata uhkiin ja hallita kyberriskejä entistä haastavammaksi. Äskettäinen ESG-tutkimus paljastaa, että tehtävät, kuten työskentely hallituksen kanssa, säännösten noudattamisen valvonta ja budjetin hallinta, muuttavat CISO:n roolia teknisestä liiketoimintalähtöiseksi. Samaan aikaan kasvava riippuvuus IT:stä digitaalisen muutoksen ja liiketoiminnan menestyksen edistäjänä on tullut ylivoimaiseksi. Tutkimuksen mukaan 65 % CISO:sta on harkinnut jättäytymistä tehtävästään stressin vuoksi.

cisos-burnout-stress-vastuu

Takeaways CISO:lle ja laudoille

Lopputulos on, että jos CISO:t kamppailevat selviytyäkseen työtaakasta ja pelkäävät säädösten kostotoimia ja jopa rikosoikeudellista vastuuta toimistaan, ne tekevät todennäköisesti huonompia päivittäisiä päätöksiä. Monet saattavat jopa jättää alan. Tällä olisi jo nyt erittäin ilkeä vaikutus alaan kamppailevat osaamispulan kanssa.

Mutta sen ei tarvitse olla näin. On asioita, joita sekä hallitukset että niiden CISO:t voivat tehdä tilanteen lievittämiseksi. On heidän molempien etujen mukaista löytää keino selvitä tästä. Harkitse seuraavaa:

  • Hallitusten tulisi arvioida CISO:n mielenterveyttä, työtaakkaa, resursseja ja raportointirakenteita tehokkuuden optimoimiseksi. Korkeat poistumisluvut voivat johtaa pitkiin aukkoihin ilman kokopäiväistä CISO:ta, mikä demotivoi tiimejä ja vaikuttaa turvallisuusstrategiaan.
  • Hallitusten tulisi maksaa CISO:illeen sen kohonneen riskin mukaisesti, joka niiden rooliin nyt liittyy.
  • Säännöllinen hallituksen ja CISO-vuorovaikutus on välttämätöntä, jos mahdollista, suorat raportointilinjat toimitusjohtajalle. Tämä auttaa parantamaan näiden kahden välistä viestintää ja nostamaan CISO:n asemaa heidän tehtäviensä mukaisesti.
  • Hallitusten olisi annettava CISO:lleen tiedot johtajien ja virkailijoiden (D&O) vakuutukset auttaakseen eristämään niitä vakavilta riskeiltä.
  • CISO:n tulisi pysyä rakastamansa toimialan puolella ja omaksua suurempi vastuu sen sijaan, että paeta sitä. Mutta heidän on myös muistettava, että heidän tehtävänsä on neuvoa ja tarjota kontekstia hallitukselle. Anna muiden soittaa suuria puheluita.
  • CISO:n tulisi aina asettaa etusijalle läpinäkyvyys ja avoimuus, erityisesti sääntelyviranomaisten kanssa.
  • CISO:n tulee olla tietoinen siitä, mitä ne kiertävät sisäisesti, ja varmistaa, että C-sarjan kiistanalaiset päätökset tai pyynnöt kirjataan aina kirjallisesti.

Uutta roolia etsiessään CISO:n tulisi palkata henkilökohtainen asianajaja, joka käy läpi tulevan sopimuksensa yksityiskohtaisesti.

Kyberturvallisuusstrategian optimoimiseksi johtokuntien tulee aloittaa arvioimalla uudelleen, mikä he haluavat CISO-roolin olevan. Seuraava askel on varmistaa, että kyseisessä roolissa oleva kyberturva-ammattilainen saa tarpeeksi tukea ja palkkion, jotta hän haluaa pysyä siellä.

Aikaleima:

Lisää aiheesta Me elämme turvallisuutta