बात यहीं रुकती है: सीआईएसओ के लिए दांव ऊंचे हैं

बात यहीं रुकती है: सीआईएसओ के लिए दांव ऊंचे हैं

समय टिकट: 8 फरवरी, 2024 5:30 पूर्वाह्न

व्यावसायिक सुरक्षा

भारी काम का बोझ और घटनाओं के लिए व्यक्तिगत दायित्व का भूत सुरक्षा नेताओं पर इतना हावी हो जाता है कि उनमें से कई बाहर निकलने का रास्ता तलाशते हैं। कॉर्पोरेट साइबर-रक्षा के लिए इसका क्या अर्थ है?

फिल मुनकास्टर

फिल मुनकास्टर

08 फ़रवरी 2024  •  , 5 मिनट। पढ़ना

बात यहीं रुकती है: सीआईएसओ के लिए दांव ऊंचे क्यों हैं

साइबर सुरक्षा आखिरकार है बोर्ड स्तर का मुद्दा बनता जा रहा है. रणनीतिक निर्णय लेने में साइबर-जोखिम प्रबंधन की बढ़ती महत्वपूर्ण भूमिका को देखते हुए, यह वैसा ही होना चाहिए। साइबर-जोखिम मूल रूप से एक मुख्य व्यावसायिक जोखिम है जिसमें या बनाने की क्षमता होती है किसी संगठन को तोड़ना. निश्चित रूप से इसके पीछे यही सोच है नए नियामक नियम अमेरिका में। 

लेकिन इसके महत्व को पहचानकर, बोर्ड और नियामक भी सीआईएसओ पर अधिक दबाव डाल रहे हैं, बिना उन्हें उचित मान्यता और इनाम दिए। परिणाम: बढ़ता तनाव, जलन और असंतोष। सीआईएसओ का तीन-चौथाई (75%) कहा जाता है बदलाव के लिए तैयार, एक साल पहले की तुलना में आठ प्रतिशत अंक ऊपर। और 64% अपनी भूमिका से संतुष्ट हैं, 10% कम।

इन चुनौतियों का संगठनों के भीतर साइबर सुरक्षा पर गंभीर प्रभाव पड़ता है। उन्हें संबोधित करना तत्काल प्राथमिकता होनी चाहिए।

बढ़ती हुई तनावपूर्ण भूमिका

सीआईएसओ का काम हमेशा तनावपूर्ण रहा है। हाल ही में ड्राइवरों में से हैं:

  • बढ़ती साइबर खतरे का स्तर, जो कई संगठनों को निरंतर अग्निशमन मोड में छोड़ देता है
  • उद्योग कौशल की कमी जिससे प्रमुख टीमों में स्टाफ की कमी हो जाती है
  • बढ़ती बोर्डरूम माँगों के कारण अत्यधिक कार्यभार
  • पर्याप्त संसाधनों और धन की कमी
  • कार्यभार जो सीआईएसओ को लंबे समय तक काम करने और छुट्टियां रद्द करने के लिए मजबूर करता है
  • डिजिटल परिवर्तन, जो कॉर्पोरेट का विस्तार जारी रखता है साइबर हमले की सतह
  • अनुपालन आवश्यकताएँ जो प्रत्येक गुजरते वर्ष के साथ बढ़ती रहती हैं

यह कोई आश्चर्य की बात नहीं है कि वैश्विक आईटी और सुरक्षा नेताओं का एक चौथाई (24%) स्वीकार कर लिया है तनाव कम करने के लिए स्व-चिकित्सा करना। बढ़ते तनाव के स्तर से न केवल थकावट और/या जल्दी सेवानिवृत्ति की संभावना बढ़ जाती है - वे खराब निर्णय लेने का कारण बन सकते हैं (जैसा कि नोट किया गया है) इस अध्ययन, उदाहरण के लिए), साथ ही संज्ञानात्मक कौशल और तर्कसंगत रूप से सोचने की क्षमता पर भी प्रभाव डालता है। वास्तव में, यह सुझाव दिया गया है कि आने वाले तनावपूर्ण दिन की प्रत्याशा भी अनुभूति को प्रभावित कर सकती है। कुछ दो-तिहाई (65%) सीआईएसओ स्वीकार करना नौकरी से संबंधित तनाव ने काम पर प्रदर्शन करने की उनकी क्षमता से समझौता कर लिया है।

जांच से सीआईएसओ पर और अधिक दबाव पड़ता है

तनाव की इस आधार रेखा के शीर्ष पर हाल के महीनों में अतिरिक्त नियामक, कानूनी और बोर्ड जांच हुई है। हाल की तीन घटनाएँ शिक्षाप्रद हैं:

  • May 2023: पूर्व उबर सीएसओ, जो सुलिवन को सज़ा सुनाई गई 2016 के एक बड़े उल्लंघन को छुपाने के प्रयास में उनकी भूमिका से संबंधित दो गुंडागर्दी का दोषी पाए जाने के बाद उन्हें तीन साल की परिवीक्षा पर भेजा गया। समर्थकों का दावा है कि उन्हें तत्कालीन सीईओ ट्रैविस कलानिक और इन-हाउस उबर वकील क्रेग क्लार्क द्वारा बलि का बकरा बनाया गया था। सुलिवन समझाते हुए कलानिक ने हैकरों को अपने विवादास्पद $100,000 भुगतान पर हस्ताक्षर कर दिए थे।
  • अक्टूबर 2023: पहले में, एसईसी ने सोलरविंड्स सीआईएसओ पर आरोप लगाया टिमोथी ब्राउन को फर्म की सुरक्षा प्रथाओं को बढ़ा-चढ़ाकर बताते हुए साइबर-जोखिम को कम महत्व देने या उसका खुलासा करने में विफल रहने के लिए दोषी ठहराया गया। शिकायत में ब्राउन द्वारा की गई कई आंतरिक टिप्पणियों का हवाला दिया गया है और आरोप लगाया गया है कि वह कंपनी के भीतर इन गंभीर चिंताओं को हल करने या बढ़ाने में विफल रहे।
  • 2023 दिसम्बर: नए एसईसी रिपोर्टिंग नियम यह लागू हो जाएगा, जिससे सार्वजनिक रूप से सूचीबद्ध कंपनियों को भौतिकता के निर्धारण से चार व्यावसायिक दिनों के भीतर "भौतिक" साइबर घटनाओं की रिपोर्ट करने की आवश्यकता होगी। फर्मों को जोखिम और किसी भी घटना के प्रभाव के आकलन, पहचान और प्रबंधन के लिए अपनी प्रक्रियाओं का सालाना वर्णन करने की भी आवश्यकता होगी। और उन्हें साइबर जोखिम के बोर्ड निरीक्षण और ऐसे जोखिम के आकलन और प्रबंधन में इसकी विशेषज्ञता का विवरण देने की आवश्यकता होगी।

यह सिर्फ अमेरिका में नहीं है जहां नियामक निरीक्षण का निर्माण हो रहा है। अक्टूबर 2 तक यूरोपीय संघ के सदस्य राज्यों के कानून में स्थानांतरित होने वाला नया NIS2024 निर्देश साइबर जोखिम प्रबंधन उपायों को मंजूरी देने और उनके कार्यान्वयन की निगरानी करने के लिए बोर्ड पर सीधी जिम्मेदारी डालता है। गंभीर घटनाओं के मामलों में लापरवाही पाए जाने पर सी-सूट के सदस्यों को व्यक्तिगत रूप से भी उत्तरदायी ठहराया जा सकता है।

के अनुसार एंटरप्राइज स्ट्रैटेजी ग्रुप (ईएसटी) विश्लेषक जॉन ओल्टसिकसीआईएसओ पर इस तरह के कदमों से बढ़ रहा दबाव खतरों का जवाब देने और साइबर जोखिम के प्रबंधन के उनके मुख्य काम को और अधिक चुनौतीपूर्ण बना रहा है। एक हालिया ईएसजी अध्ययन से पता चलता है कि बोर्ड के साथ काम करना, नियामक अनुपालन की देखरेख करना और बजट का प्रबंधन करना सीआईएसओ की भूमिका को तकनीकी से व्यवसाय-उन्मुख में बदल रहा है। साथ ही, डिजिटल परिवर्तन और व्यावसायिक सफलता के लिए आईटी पर बढ़ती निर्भरता भारी हो गई है। सर्वेक्षण में दावा किया गया है कि 65% सीआईएसओ ने तनाव के कारण अपनी भूमिका छोड़ने पर विचार किया है।

सिसोस-बर्नआउट-तनाव-दायित्व

सीआईएसओ और बोर्डों के लिए टेकअवे

लब्बोलुआब यह है कि यदि सीआईएसओ कार्यभार से निपटने के लिए संघर्ष कर रहे हैं, और अपने कार्यों के लिए नियामक प्रतिशोध और यहां तक ​​कि आपराधिक दायित्व के डर से, तो वे दिन-प्रतिदिन बदतर निर्णय लेने की संभावना रखते हैं। कई लोग तो इंडस्ट्री छोड़ भी सकते हैं। इसका पहले से ही एक सेक्टर पर बेहद घातक प्रभाव पड़ेगा कौशल की कमी से जूझ रहे हैं.

लेकिन ऐसा होना जरूरी नहीं है. स्थिति को कम करने के लिए कुछ चीजें हैं जो बोर्ड और उनके सीआईएसओ दोनों कर सकते हैं। इसमें से कोई रास्ता निकालना उन दोनों के हित में है। निम्न पर विचार करें:

  • बोर्डों को उनकी प्रभावशीलता को अनुकूलित करने के लिए सीआईएसओ के मानसिक स्वास्थ्य, कार्यभार, संसाधनों और रिपोर्टिंग संरचनाओं का आकलन करना चाहिए। उच्च नौकरी छोड़ने की दर पूर्णकालिक सीआईएसओ के बिना लंबे अंतराल का कारण बन सकती है, जो टीमों को हतोत्साहित करती है और सुरक्षा रणनीति को प्रभावित करती है।
  • बोर्डों को अपने सीआईएसओ को उनकी भूमिका में बढ़ते जोखिम के अनुरूप पारिश्रमिक देना चाहिए।
  • यदि संभव हो तो सीईओ को सीधे रिपोर्टिंग लाइनों के साथ, नियमित बोर्ड-सीआईएसओ जुड़ाव आवश्यक है। इससे दोनों के बीच संचार को बेहतर बनाने में मदद मिलेगी और उनकी जिम्मेदारियों के अनुरूप सीआईएसओ की स्थिति ऊपर उठेगी।
  • बोर्डों को अपने सीआईएसओ उपलब्ध कराने चाहिए निदेशक और अधिकारी (डी एंड ओ) बीमा उन्हें गंभीर जोखिम से बचाने में मदद करने के लिए।
  • सीआईएसओ को उस उद्योग से जुड़े रहना चाहिए जिससे वे प्यार करते हैं और इससे भागने के बजाय अधिक जिम्मेदारी अपनानी चाहिए। लेकिन उन्हें यह भी याद रखना चाहिए कि उनकी भूमिका बोर्ड को सलाह देना और संदर्भ प्रदान करना है। दूसरों को बड़ी कॉल करने दें.
  • सीआईएसओ को हमेशा पारदर्शिता और खुलेपन को प्राथमिकता देनी चाहिए, खासकर नियामकों के साथ।
  • सीआईएसओ को इस बात का ध्यान रखना चाहिए कि वे आंतरिक रूप से क्या प्रसारित करते हैं और यह सुनिश्चित करना चाहिए कि सी-सूट से विवादास्पद निर्णय या अनुरोध हमेशा लिखित रूप में दर्ज किए जाएं।

नई भूमिका खोजते समय, सीआईएसओ को अपने संभावित अनुबंध के बारे में विस्तार से जानने के लिए एक निजी वकील को नियुक्त करना चाहिए।

साइबर सुरक्षा रणनीति को अनुकूलित करने के लिए, बोर्डों को यह पुनर्मूल्यांकन करके शुरुआत करनी चाहिए कि वे सीआईएसओ की भूमिका क्या चाहते हैं। अगला कदम यह सुनिश्चित करना है कि उस भूमिका में साइबर सुरक्षा पेशेवर को वहां बने रहने के लिए पर्याप्त समर्थन और पर्याप्त इनाम मिले।

समय टिकट:

से अधिक हम सुरक्षा जीते हैं