Sécurité d'entreprise
Les lourdes charges de travail et le spectre d’une responsabilité personnelle en cas d’incident pèsent lourd sur les responsables de la sécurité, à tel point que nombre d’entre eux cherchent la sortie. Qu’est-ce que cela signifie pour la cyberdéfense des entreprises ?
08 février 2024 • , 5 minute. lis
La cybersécurité est enfin devenir un problème au niveau du conseil d'administration. C’est normal, étant donné le rôle de plus en plus important que joue la gestion des cyber-risques dans la prise de décision stratégique. Le cyber-risque est fondamentalement un risque commercial majeur susceptible de générer ou briser une organisation. C'est certainement la réflexion derrière nouvelles règles réglementaires aux Etats-Unis.
Mais en reconnaissant son importance, les conseils d’administration et les régulateurs exercent également davantage de pression sur les RSSI, sans nécessairement leur accorder une reconnaissance et une récompense appropriées. Le résultat : une montée du stress, de l’épuisement professionnel et de l’insatisfaction. Les trois quarts (75 %) des RSSI sont dits être ouvert au changement, en hausse de huit points de pourcentage par rapport à il y a un an. Et 64 % sont satisfaits de leur rôle, en baisse de 10 %.
Ces défis ont de sérieuses implications pour la cybersécurité au sein des organisations. Les résoudre devrait être une priorité urgente.
Un rôle de plus en plus stressant
Les RSSI ont toujours eu un travail stressant. Parmi les pilotes récents figurent :
- Déferlant niveaux de cybermenace, ce qui laisse de nombreuses organisations en mode lutte continue contre les incendies
- Industrie pénuries de compétences qui laissent les équipes clés en sous-effectif
- Charge de travail excessive en raison des exigences croissantes des salles de réunion
- Un manque de ressources et de financements adéquats
- Une charge de travail qui oblige les RSSI à travailler de longues heures et à annuler les congés
- La transformation numérique, qui continue d'élargir l'entreprise surface de cyberattaque
- Des exigences de conformité qui continuent de croître d’année en année
Il n'est pas surprenant qu'un quart (24 %) des responsables mondiaux de l'informatique et de la sécurité avoir admis à l'automédication pour atténuer le stress. Les niveaux de stress croissants n'augmentent pas seulement le risque d'épuisement professionnel et/ou de retraite anticipée : ils pourraient conduire à une mauvaise prise de décision (comme le souligne cette étude, par exemple), ainsi qu’un impact sur les compétences cognitives et la capacité de penser de manière rationnelle. En effet, il a été suggéré que même l'anticipation d'une journée stressante à venir peut avoir un impact sur la cognition. Environ deux tiers (65 %) des RSSI admettre que le stress lié au travail a compromis leur capacité à performer au travail.
L’examen exerce une pression supplémentaire sur les RSSI
À cette situation de stress s’est ajoutée une surveillance accrue des réglementations, des lois et des conseils d’administration au cours des derniers mois. Trois événements récents sont instructifs :
- May 2023: Ancien CSO d'Uber, Joe Sullivan a été condamné à trois ans de probation après avoir été reconnu coupable de deux crimes liés à son rôle dans une tentative de dissimulation d'une méga-violation de 2016. Les partisans affirment qu'il a été le bouc émissaire du PDG de l'époque, Travis Kalanick, et de l'avocat interne d'Uber, Craig Clark, avec Sullivan expliquant que Kalanick avait approuvé son paiement controversé de 100,000 XNUMX $ aux pirates.
- Octobre 2023: Dans une première, le La SEC a chargé le RSSI de SolarWinds Timothy Brown pour avoir minimisé ou omis de divulguer les cyber-risques tout en surestimant les pratiques de sécurité de l'entreprise. La plainte fait référence à plusieurs commentaires internes formulés par Brown et allègue qu'il n'a pas réussi à résoudre ou à élever ces graves préoccupations au sein de l'entreprise.
- Décembre 2023: Nouvelles règles de reporting SEC entre en vigueur, obligeant les sociétés cotées en bourse à signaler les cyberincidents « importants » dans les quatre jours ouvrables suivant la détermination de l'importance relative. Les entreprises devront également décrire chaque année leurs processus d'évaluation, d'identification et de gestion des risques et de l'impact de tout incident. Et ils devront détailler la surveillance du conseil d’administration en matière de cyber-risques et son expertise dans l’évaluation et la gestion de ces risques.
Il n'y a pas qu'aux États-Unis où la surveillance réglementaire se développe. La nouvelle directive NIS2, qui devrait être transposée dans le droit des États membres de l'UE d'ici octobre 2024, confère au conseil d'administration la responsabilité directe d'approuver les mesures de gestion des cyber-risques et de superviser leur mise en œuvre. Les membres de la C-suite peuvent également être tenus personnellement responsables s’ils sont jugés négligents en cas d’incidents graves.
Selon Jon Oltsik, analyste chez Enterprise Strategy Group (EST), la pression croissante que ces mesures exercent sur les RSSI rend plus difficile leur tâche principale, qui consiste à répondre aux menaces et à gérer les cyber-risques. Une récente étude ESG révèle que des tâches telles que la collaboration avec le conseil d'administration, la supervision de la conformité réglementaire et la gestion d'un budget font passer le rôle du RSSI d'un rôle technique à un rôle orienté commercial. Dans le même temps, la dépendance croissante à l’égard de l’informatique pour alimenter la transformation numérique et la réussite des entreprises est devenue écrasante. L'enquête affirme que 65 % des RSSI ont envisagé de quitter leur poste en raison du stress.
Points à retenir pour les RSSI et les conseils d'administration
En fin de compte, si les RSSI ont du mal à faire face à la charge de travail et craignent des représailles réglementaires, voire une responsabilité pénale pour leurs actes, ils prendront probablement de pires décisions au quotidien. Beaucoup pourraient même quitter l’industrie. Cela aurait un impact extrêmement néfaste sur un secteur déjà aux prises avec une pénurie de compétences.
Mais il n’est pas nécessaire qu’il en soit ainsi. Il y a des choses que les conseils d’administration et leurs RSSI peuvent faire pour atténuer la situation. Il est dans leur intérêt à tous les deux de trouver une solution à cette situation. Considérer ce qui suit:
- Les conseils d'administration doivent évaluer la santé mentale, la charge de travail, les ressources et les structures hiérarchiques des RSSI afin d'optimiser leur efficacité. Des taux d’attrition élevés peuvent entraîner de longues absences sans RSSI à temps plein, ce qui démotive les équipes et a un impact sur la stratégie de sécurité.
- Les conseils d’administration devraient rémunérer leurs RSSI en fonction du risque élevé que leur rôle implique désormais.
- Un engagement régulier du conseil d’administration et du RSSI est essentiel, avec si possible des liens directs avec le PDG. Cela contribuera à améliorer la communication entre les deux et à élever la position du RSSI conformément à ses responsabilités.
- Les conseils d’administration devraient fournir à leurs RSSI assurance des administrateurs et dirigeants (D&O) pour les protéger des risques graves.
- Les RSSI devraient rester fidèles au secteur qu’ils aiment et assumer de plus grandes responsabilités plutôt que de s’enfuir. Mais ils doivent également se rappeler que leur rôle est de conseiller et de fournir un contexte au conseil d'administration. Laissez les autres prendre les grandes décisions.
- Les RSSI doivent toujours donner la priorité à la transparence et à l’ouverture, en particulier envers les régulateurs.
- Les RSSI doivent être attentifs à ce qu'ils diffusent en interne et s'assurer que les décisions litigieuses ou les demandes de la suite C sont toujours enregistrées par écrit.
Lorsqu'ils recherchent un nouveau rôle, les RSSI devraient engager un avocat personnel pour examiner en détail leur contrat potentiel.
Pour optimiser la stratégie de cybersécurité, les conseils d’administration devraient commencer par réévaluer ce qu’ils souhaitent que soit le rôle du RSSI. La prochaine étape consiste à garantir que le professionnel de la cybersécurité occupant ce rôle bénéficie de suffisamment de soutien et de récompenses suffisantes pour vouloir y rester.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.welivesecurity.com/en/business-security/buck-stops-stakes-high-cisos/
- :possède
- :est
- :ne pas
- :où
- $UP
- 000
- 2016
- 2023
- 2024
- 35%
- 91
- a
- capacité
- A Propos
- actes
- adresser
- adéquat
- conseiller
- Après
- depuis
- devant
- alléger
- déjà
- aussi
- toujours
- parmi
- an
- analyste
- et les
- Annuellement
- anticipation
- tous
- approuver
- SONT
- AS
- Evaluer
- Évaluation
- At
- tentative
- usure
- et
- Baseline
- BE
- devenez
- était
- derrière
- va
- LES MEILLEURS
- jusqu'à XNUMX fois
- Big
- planche
- tous les deux
- Bas et Leggings
- marron
- budget
- Développement
- l'épuisement professionnel
- la performance des entreprises
- mais
- by
- C-suite
- Appels
- CAN
- cas
- Catégories
- CEO
- Assurément
- globaux
- difficile
- Change
- accusé
- CISO
- réclamer
- prétentions
- cognition
- cognitif
- comment
- commentaires
- Communication
- Société
- plainte
- conformité
- Compromise
- Préoccupations
- Considérer
- considéré
- contexte
- continuer
- continue
- continu
- contrat
- controversé
- Core
- Entreprises
- pourriez
- Couvrir
- Craig
- Criminel
- cyber
- Cybersécurité
- journée
- jour après jour
- jours
- décision
- La prise de décision
- décisions
- dépendance
- décrire
- détail
- détermination
- numérique
- Transformation numérique
- Divulguer
- do
- Ne fait pas
- Ne pas
- down
- conducteurs
- deux
- chacun
- "Early Bird"
- efficacité
- huit
- LE NIVEAU SUPÉRIEUR
- élevée
- embrasser
- participation
- assez
- assurer
- (ESG)
- notamment
- essential
- EU
- Pourtant, la
- événements
- exemple
- sorties
- Développer vous
- nous a permis de concevoir
- supplémentaire
- Échoué
- défaut
- peur
- Février
- finalement
- Trouvez
- trouver
- entreprises
- Prénom
- Abonnement
- Pour
- Force
- Forces
- Ancien
- trouvé
- quatre
- De
- fondamentalement
- plus
- lacunes
- donné
- Don
- Global
- Go
- plus grand
- Réservation de groupe
- Croître
- Croissance
- coupable
- les pirates
- ait eu
- Vous avez
- he
- Santé
- Tenue
- vous aider
- ici
- Haute
- louer
- sa
- HEURES
- HTML
- HTTPS
- Extrêmement
- identifier
- if
- Impact
- Impacts
- la mise en oeuvre
- implications
- importance
- important
- améliorer
- in
- Améliore
- croissant
- de plus en plus
- en effet
- industrie
- intérêts
- interne
- intérieurement
- développement
- IT
- SES
- Emploi
- jon
- jpg
- juste
- Justice
- ACTIVITES
- Peindre
- Droit applicable et juridiction compétente
- avocat
- conduire
- dirigeants
- Laisser
- départ
- Légal
- laisser
- niveaux
- responsabilité
- probabilité
- Probable
- Gamme
- lignes
- Listé
- Location
- Style
- love
- LES PLANTES
- a prendre une
- Fabrication
- gestion
- les gérer
- de nombreuses
- largeur maximale
- Mai..
- signifier
- les mesures
- membre
- Membres
- mental
- La santé mentale
- m.
- mois
- PLUS
- se déplace
- beaucoup
- must
- nécessairement
- Besoin
- Nouveauté
- next
- aucune
- noté
- maintenant
- octobre
- of
- de rabais
- les officiers
- on
- ONE
- ouvert
- Ouverture
- Optimiser
- or
- organisations
- Autres
- plus de
- superviser
- surveillance
- Surveillance
- accablant
- En passant
- Paiement
- pourcentage
- Effectuer
- personnel
- Personnellement
- PHIL
- placement
- Platon
- Intelligence des données Platon
- PlatonDonnées
- joue
- des notes bonus
- pauvres
- position
- possible
- défaillances
- power
- pratiques
- la parfaite pression
- Prioriser
- priorité
- les process
- professionels
- éventuel
- fournir
- publiquement
- Listé publiquement
- Puts
- Trimestre
- Tarifs
- plutôt
- récent
- récemment
- reconnaissance
- reconnaissant
- enregistré
- se réfère
- Régulateurs
- régulateurs
- Conformité réglementaire
- surveillance réglementaire
- en relation
- rappeler
- rapport
- Rapports
- demandes
- Exigences
- résoudre
- Resources
- répondre
- responsabilités
- responsabilité
- résultat
- retraite
- Révèle
- Récompenser
- Analyse
- la gestion des risques
- Rôle
- Courir
- s
- Saïd
- même
- satisfait
- satisfait avec
- examen minutieux
- SEC
- secteur
- sécurité
- grave
- set
- plusieurs
- devrait
- signé
- situation
- compétences
- So
- SolarWinds
- quelques
- spectre
- enjeux
- Commencer
- États
- rester
- étapes
- Arrête
- Stratégique
- de Marketing
- stress
- structures
- Luttant
- Étude
- succès
- tel
- suffisant
- convient
- Sullivan
- Support
- partisans
- flambée
- surprise
- Sondage
- Prenez
- tâches
- équipes
- Technique
- que
- qui
- Le
- leur
- Les
- Là.
- Ces
- l'ont
- des choses
- penser
- En pensant
- this
- des menaces
- trois
- Avec
- fiable
- Titre
- à
- top
- De La Carrosserie
- Transparence
- Tournant
- deux
- les deux tiers
- Uber
- urgent
- us
- souhaitez
- était
- Façon..
- WELL
- Quoi
- qui
- tout en
- why
- largeur
- sera
- comprenant
- dans les
- sans
- activités principales
- de travail
- pire
- pourra
- écriture
- an
- zéphyrnet
