A baki itt megáll: A tét nagy a CISO-k számára

A baki itt megáll: A tét nagy a CISO-k számára

Időbélyeg: 8. február 2024. 5:30

Üzleti biztonság

A nagy munkaterhelés és az incidensekért való személyes felelősség kísértete megviseli a biztonsági vezetőket, olyannyira, hogy sokan keresik a kijáratokat. Mit jelent ez a vállalati kibervédelem szempontjából?

Phil Muncaster

Phil Muncaster

08 február 2024  •  , 5 perc olvas

A felelősség itt megáll: Miért nagy a tét a CISO-k számára

A kiberbiztonság végre testületi szintű kérdéssé válik. Ennek így kell lennie, tekintve, hogy a kiberkockázat-kezelés egyre fontosabb szerepet játszik a stratégiai döntéshozatalban. A kiberkockázat alapvetően egy alapvető üzleti kockázat, amely potenciálisan ill megtörni egy szervezetet. Minden bizonnyal ez a gondolkodás mögött új szabályozási szabályok az USA-ban. 

De a testületek és a szabályozó hatóságok fontosságának felismerésével nagyobb nyomást gyakorolnak a CISO-kra, anélkül, hogy szükségszerűen megfelelő elismerést és jutalmat adnának nekik. Az eredmény: növekvő stressz, kiégés és elégedetlenség. A CISO-k háromnegyede (75%) állítólag az változásra nyitott, nyolc százalékponttal több, mint egy évvel ezelőtt. És 64% elégedett a szerepével, ez 10% -kal csökkent.

Ezek a kihívások komoly hatással vannak a szervezeteken belüli kiberbiztonságra. Ezek kezelésének sürgős prioritásnak kell lennie.

Egyre stresszesebb szerep

A CISO-knak mindig is stresszes munkájuk volt. A közelmúltban a sofőrök között szerepel:

  • hullámzó kiberfenyegetés szintjei, amelyek sok szervezetet folyamatos tűzoltó üzemmódban hagynak
  • Ipar szakképzettség hiánya amelyek a kulcscsapatok létszámhiányát okozzák
  • Túlzott munkaterhelés a növekvő tanácstermi igények miatt
  • Megfelelő források és finanszírozás hiánya
  • Munkaterhelés, amely arra kényszeríti a CISO-kat, hogy hosszú órákat dolgozzanak és töröljék a szabadságokat
  • Digitális átalakulás, amely tovább bővíti a vállalatot kibertámadási felület
  • Megfelelőségi követelmények, amelyek évről évre nőnek

Nem meglepő, hogy a globális IT és biztonsági vezetők negyede (24%) elismerték öngyógyításra a stressz enyhítésére. A növekvő stresszszint nemcsak a kiégés és/vagy a korai nyugdíjazás valószínűségét növeli, hanem rossz döntéshozatalhoz is vezethet (amint azt a ez a tanulmánypéldául), valamint hatással vannak a kognitív készségekre és a racionális gondolkodás képességére. Valójában azt sugallják, hogy még a stresszes napra való várakozás is hatással lehet a megismerésre. A CISO-k mintegy kétharmada (65%) beismerni hogy a munkával összefüggő stressz veszélyeztette a munkahelyi teljesítményüket.

A vizsgálat további nyomást gyakorol a CISO-ra

A stressz alaphelyzetén túlmenően az elmúlt hónapokban további szabályozási, jogi és testületi ellenőrzés is történt. Három közelmúltbeli esemény tanulságos:

  • Május 2023: Volt Uber civil szervezet, Joe Sullivant elítélték három év próbaidőre, miután bűnösnek találták egy 2016-os nagyszabású kihágás elfedésének kísérletében játszott szerepével kapcsolatos két bűncselekményben. A támogatók azt állítják, hogy Travis Kalanick akkori vezérigazgató és Craig Clark, az Uber házon belüli ügyvédje tette bűnbakká. Sullivan magyaráz hogy Kalanick aláírta a 100,000 XNUMX dolláros ellentmondásos kifizetését a hackereknek.
  • Október 2023: Az elsőben a SEC feltöltött SolarWinds CISO Timothy Brownt azért, mert lekicsinyelte vagy elmulasztotta felfedni a kiberkockázatot, miközben túlbecsülte a cég biztonsági gyakorlatát. A panasz Brown több belső megjegyzésére hivatkozik, és azt állítja, hogy nem tudta megoldani vagy felemelni ezeket a komoly aggályokat a vállalaton belül.
  • December 2023: Új SEC jelentési szabályok hatályba lép, előírja a nyilvánosan jegyzett cégeknek, hogy a lényegesség megállapításától számított négy munkanapon belül jelentsék a „lényeges” kiberincidenseket. A cégeknek évente le kell írniuk a kockázatok és az esetleges események hatásának értékelésére, azonosítására és kezelésére vonatkozó folyamataikat. És részletesen meg kell határozniuk a kiberkockázatok igazgatótanácsi felügyeletét és az ilyen kockázatok felmérésében és kezelésében szerzett szakértelmét.

Nem csak az Egyesült Államokban fejlődik a szabályozási felügyelet. Az új NIS2-irányelv, amelyet 2024 októberéig kell átültetni az EU-tagállamok jogába, közvetlen felelősséget ró az igazgatóságra a kiberkockázat-kezelési intézkedések jóváhagyására és végrehajtásuk felügyeletére. A C-suite tagjai személyes felelősségre vonhatók, ha súlyos incidensek esetén hanyagságukat állapítják meg.

Szerint Az Enterprise Strategy Group (EST) elemzője, Jon Oltsik, az ilyen lépések által a CISO-kra nehezedő növekvő nyomás nagyobb kihívást jelent a fenyegetésekre való reagálásban és a kiberkockázatok kezelésében. Egy közelmúltbeli ESG-tanulmány feltárja, hogy az olyan feladatok, mint az igazgatótanácsgal való együttműködés, a szabályozási megfelelés felügyelete és a költségvetés kezelése, a CISO szerepkörét technikai helyett üzleti célúvá változtatják. Ugyanakkor a digitális átalakulás és az üzleti sikerek IT-függősége elsöprővé vált. A felmérés szerint a CISO-k 65%-a fontolgatta, hogy stressz miatt elhagyja szerepét.

cisos-kiégés-stressz-felelősség

Elvihető CISO-k és táblák

A lényeg az, hogy ha a CISO-k nehezen tudnak megbirkózni a munkateherrel, és félnek a szabályozási megtorlástól, sőt a tetteikért való büntetőjogi felelősségtől, akkor valószínűleg rosszabb napi döntéseket hoznak. Sokan akár elhagyhatják az ipart. Ennek már most is nagyon rossz hatása lenne egy ágazatra szakképzettségi hiányokkal küszködik.

De ennek nem kell így lennie. Vannak dolgok, amelyeket az igazgatóságok és a CISO-ik is tehetnek a helyzet enyhítésére. Mindkettőjük érdeke, hogy megtalálják a megoldást. Tekintsük a következő:

  • A testületeknek értékelniük kell a CISO-k mentális egészségét, munkaterhelését, erőforrásait és jelentési struktúráit hatékonyságuk optimalizálása érdekében. A magas lemorzsolódási arányok hosszú szünetekhez vezethetnek teljes munkaidős CISO nélkül, ami demotiválja a csapatokat és hatással van a biztonsági stratégiára.
  • Az igazgatóságoknak a jelenlegi szerepükkel járó megnövekedett kockázatnak megfelelően javadalmazásban kell részesíteniük CISO-kat.
  • Alapvető fontosságú az igazgatótanács és a CISO rendszeres kapcsolattartása, lehetőség szerint közvetlen jelentéstétellel a vezérigazgató felé. Ez elősegíti a kettejük közötti kommunikáció javítását, és felelősségi körüknek megfelelően emeli a CISO pozícióját.
  • Az igazgatóságoknak biztosítaniuk kell CISO-jukat igazgatók és tisztek (D&O) biztosítás hogy segítsen elszigetelni őket a komoly kockázatoktól.
  • A CISO-knak ragaszkodniuk kell az általuk szeretett iparághoz, és nagyobb felelősséget kell vállalniuk, ahelyett, hogy elmenekülnének előle. De emlékezniük kell arra is, hogy az ő feladatuk tanácsot adni és kontextust biztosítani a testület számára. Hagyja, hogy mások intézzék a nagy hívásokat.
  • A CISO-knak mindig előnyben kell részesíteniük az átláthatóságot és a nyitottságot, különösen a szabályozó hatóságokkal szemben.
  • A CISO-knak ügyelniük kell arra, hogy mit terjesztenek belsőleg, és gondoskodniuk kell arról, hogy a C-suite vitás döntéseit vagy kéréseit mindig írásban rögzítsék.

Amikor új szerepkört találnak, a CISO-knak személyes ügyvédet kell fogadniuk, aki részletesen átdolgozza leendő szerződését.

A kiberbiztonsági stratégia optimalizálása érdekében a testületeknek először újra kell értékelniük a CISO szerepkörét. A következő lépés annak biztosítása, hogy a kiberbiztonsági szakember elegendő támogatást és jutalmat kapjon ahhoz, hogy ott maradjon.

Időbélyeg:

Még több Biztonságban élünk