La responsabilità si ferma qui: la posta in gioco è alta per i CISO

Ripubblicato da Platone

Seguaci: 0

Sicurezza aziendale

I pesanti carichi di lavoro e lo spettro della responsabilità personale per gli incidenti mettono a dura prova i leader della sicurezza, al punto che molti di loro cercano una via d’uscita. Cosa significa questo per le difese informatiche aziendali?

Phil Muncaster

Febbraio 08 2024 · XNUMX€ , 5 minuto. leggere

La responsabilità si ferma qui: perché la posta in gioco è alta per i CISO

La sicurezza informatica è finalmente diventando una questione a livello di consiglio. È come dovrebbe essere, dato il ruolo sempre più importante che la gestione del rischio informatico gioca nel processo decisionale strategico. Il rischio informatico è fondamentalmente un rischio aziendale fondamentale con il potenziale di creare o rompere un'organizzazione. Questo è certamente il pensiero dietro nuove regole normative negli Stati Uniti.

Ma riconoscendone l’importanza, i consigli di amministrazione e le autorità di regolamentazione stanno anche esercitando una maggiore pressione sui CISO, senza necessariamente fornire loro un riconoscimento e una ricompensa adeguati. Il risultato: aumento dello stress, burnout e insoddisfazione. Tre quarti (75%) dei CISO si dice che lo siano aperti a un cambiamento, in aumento di otto punti percentuali rispetto a un anno fa. E il 64% è soddisfatto del proprio ruolo, in calo del 10%.

Queste sfide hanno gravi implicazioni per la sicurezza informatica all’interno delle organizzazioni. Affrontarli dovrebbe essere una priorità urgente.

Un ruolo sempre più stressante

I CISO hanno sempre avuto un lavoro stressante. Tra i driver recentemente ci sono:

impeto livelli di minaccia informatica, che lasciano molte organizzazioni in una continua modalità antincendio
Industria carenze di competenze che lasciano i team chiave a corto di personale
Carico di lavoro eccessivo a causa delle crescenti richieste del consiglio di amministrazione
Mancanza di risorse e finanziamenti adeguati
Carico di lavoro che costringe i CISO a lavorare per molti orari e ad annullare le ferie
Trasformazione digitale, che continua ad espandere l’azienda superficie di attacco informatico
Requisiti di conformità che continuano a crescere ogni anno che passa

Non sorprende che un quarto (24%) dei leader globali dell'IT e della sicurezza hanno ammesso all’automedicazione per alleviare lo stress. I crescenti livelli di stress non solo aumentano la probabilità di burnout e/o di pensionamento anticipato, ma potrebbero portare a un processo decisionale inadeguato (come notato da questo studio, per esempio), oltre ad avere un impatto sulle capacità cognitive e sulla capacità di pensare razionalmente. In effetti, è stato suggerito che anche l’anticipazione di una giornata stressante possa avere un impatto sulla cognizione. Circa due terzi (65%) dei CISO ammettere che lo stress legato al lavoro ha compromesso la loro capacità di svolgere il lavoro.

Il controllo esercita ulteriore pressione sul CISO

A questo stress di base si è aggiunto negli ultimi mesi un ulteriore controllo normativo, legale e da parte del consiglio di amministrazione. Tre eventi recenti sono istruttivi:

Maggio 2023: Ex direttore generale della società Uber, Joe Sullivan è stato condannato a tre anni di libertà vigilata dopo essere stato giudicato colpevole di due reati legati al suo ruolo nel tentativo di insabbiare una mega-violazione del 2016. I sostenitori sostengono che il capro espiatorio sia stato l'allora CEO Travis Kalanick e l'avvocato interno di Uber Craig Clark, con Sullivan spiega che Kalanick aveva firmato il controverso pagamento di 100,000 dollari agli hacker.
Ottobre 2023: In un primo momento, il La SEC ha incaricato il CISO di SolarWinds Timothy Brown per aver minimizzato o omesso di rivelare il rischio informatico, sopravvalutando le pratiche di sicurezza dell'azienda. La denuncia si riferisce a diversi commenti interni fatti da Brown e sostiene che non sia riuscito a risolvere o sollevare queste gravi preoccupazioni all'interno dell'azienda.
Dicembre 2023: Nuove regole di reporting della SEC entrerà in vigore, imponendo alle società quotate in borsa di segnalare gli incidenti informatici “materiali” entro quattro giorni lavorativi dalla determinazione della rilevanza. Le aziende dovranno inoltre descrivere annualmente i propri processi di valutazione, identificazione e gestione del rischio e dell’impatto di eventuali incidenti. E dovranno dettagliare la supervisione del consiglio di amministrazione sul rischio informatico e la sua esperienza nella valutazione e gestione di tale rischio.

Non è solo negli Stati Uniti che si sta sviluppando il controllo normativo. La nuova direttiva NIS2, che sarà recepita nella legislazione degli Stati membri dell’UE entro ottobre 2024, attribuisce la responsabilità diretta al consiglio di amministrazione di approvare le misure di gestione del rischio informatico e di supervisionarne l’attuazione. I membri del gruppo dirigente possono anche essere ritenuti personalmente responsabili se ritenuti negligenti in caso di incidenti gravi.

Secondo Jon Oltsik, analista dell'Enterprise Strategy Group (EST)., la crescente pressione che tali iniziative stanno esercitando sui CISO sta rendendo più impegnativo il loro compito principale di rispondere alle minacce e gestire il rischio informatico. Un recente studio ESG rivela che compiti come collaborare con il consiglio di amministrazione, supervisionare la conformità normativa e gestire un budget stanno trasformando il ruolo del CISO da tecnico a orientato al business. Allo stesso tempo, la crescente dipendenza dall’IT per alimentare la trasformazione digitale e il successo aziendale è diventata schiacciante. L’indagine afferma che il 65% dei CISO ha preso in considerazione l’idea di lasciare il proprio ruolo a causa dello stress.

cisos-burnout-stress-responsabilità

Takeaway per CISO e consigli di amministrazione

La conclusione è che se i CISO hanno difficoltà a far fronte al carico di lavoro e nel timore di ritorsioni normative e persino di responsabilità penale per le loro azioni, è probabile che prendano decisioni quotidiane peggiori. Molti potrebbero addirittura abbandonare il settore. Ciò avrebbe già un impatto estremamente dannoso su un settore alle prese con carenze di competenze.

Ma non è necessario che sia così. Ci sono cose che sia i consigli di amministrazione che i loro CISO possono fare per alleviare la situazione. È nell'interesse di entrambi trovare una soluzione. Considera quanto segue:

I consigli di amministrazione dovrebbero valutare la salute mentale, il carico di lavoro, le risorse e le strutture di reporting dei CISO per ottimizzare la loro efficacia. Gli elevati tassi di abbandono possono portare a lunghe lacune senza un CISO a tempo pieno, il che demotiva i team e incide sulla strategia di sicurezza.
I consigli di amministrazione dovrebbero remunerare i propri CISO in linea con l’elevato rischio che il loro ruolo ora comporta.
È essenziale un regolare coinvolgimento del consiglio di amministrazione e del CISO, con linee di riporto dirette al CEO, se possibile. Ciò contribuirà a migliorare la comunicazione tra i due e ad elevare la posizione del CISO in linea con le loro responsabilità.
I consigli di amministrazione dovrebbero fornire ai propri CISO assicurazione per direttori e funzionari (D&O). per aiutarli a isolarli da rischi gravi.
I CISO dovrebbero restare fedeli al settore che amano e assumersi maggiori responsabilità anziché scappare da esso. Ma devono anche ricordare che il loro ruolo è consigliare e fornire contesto al consiglio. Lascia che siano gli altri a fare le scelte importanti.
I CISO dovrebbero sempre dare priorità alla trasparenza e all’apertura, soprattutto nei confronti delle autorità di regolamentazione.
I CISO dovrebbero essere consapevoli di ciò che circolano internamente e garantire che le decisioni o le richieste controverse da parte dei dirigenti siano sempre registrate per iscritto.

Quando trovano un nuovo ruolo, i CISO dovrebbero assumere un avvocato personale per esaminare in dettaglio il loro potenziale contratto.

Per ottimizzare la strategia di sicurezza informatica, i consigli di amministrazione dovrebbero iniziare rivalutando quale vogliono che sia il ruolo del CISO. Il passo successivo è garantire che il professionista della sicurezza informatica in quel ruolo abbia abbastanza supporto e ricompensa sufficiente per voler rimanere lì.

Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
Fonte: https://www.welivesecurity.com/en/business-security/buck-stops-stakes-high-cisos/

Timestamp: 8 Febbraio 2024

Timestamp: 14 agosto 2023

Ripubblicato da Platone

I migliori consigli per i regali di Natale che migliorano la sicurezza e la privacy

Formazione sulla sensibilizzazione al phishing: aiuta i tuoi dipendenti a evitare il gancio

La truffa per il 40° anniversario di Costco prende di mira gli utenti di WhatsApp

Trucchi del mestiere: come un anello di criminalità informatica ha gestito uno schema di frode a più livelli

Aumento delle app di prestito ingannevoli – Settimana in sicurezza con Tony Anscombe

Principali risultati dell'ultimo ESET Threat Report – Week in security with Tony Anscombe

Evita i disastri digitali di viaggio – Settimana in sicurezza con Tony Anscombe

Cos'è l'intelligenza artificiale? Sbloccato 403 | Podcast sulla sicurezza informatica

Principali risultati di ESET Threat Report H1 2023 – Week in security with Tony Anscombe | WeLiveSecurity

Chi siamo

Ricerca verticale e Ai

Piattaforma

Rimani in contatto

Il mio account