הכסף נעצר כאן: ההימור גבוה עבור CISOs

אבטחה עסקית

עומסים כבדים וספקנות האחריות האישית לתקריות גובים מחיר ממנהיגי האבטחה, עד כדי כך שרבים מהם מחפשים את היציאות. מה זה אומר על הגנת הסייבר הארגונית?

פיל מונקסטר

08 פבואר 2024  •  , 5 דקות לקרוא

סוף סוף אבטחת סייבר הופך לנושא ברמת הדירקטוריון. זה כמו שזה צריך להיות, לאור התפקיד ההולך וגדל של ניהול סיכוני סייבר בקבלת החלטות אסטרטגיות. סיכון סייבר הוא ביסודו סיכון עסקי ליבה עם פוטנציאל לעשות או לשבור ארגון. זו בהחלט החשיבה מאחורי כללים רגולטוריים חדשים בארצות הברית. 

אבל על ידי הכרה בחשיבותו, מועצות ורגולטורים גם מפעילים לחץ רב יותר על CISOs, מבלי לתת להם הכרה ותגמול מתאימים. התוצאה: מתח גואה, שחיקה וחוסר שביעות רצון. שלושה רבעים (75%) מה-CISO אומרים שהם פתוח לשינוי, עלייה של שמונה נקודות אחוז בהשוואה לפני שנה. ו-64% מרוצים מתפקידם, ירידה של 10%.

לאתגרים הללו יש השלכות רציניות על אבטחת הסייבר בתוך ארגונים. הטיפול בהם צריך להיות בראש סדר העדיפויות.

תפקיד מלחיץ יותר ויותר

ל-CISO תמיד הייתה עבודה מלחיצה. בין הנהגים לאחרונה:

• מתייבש רמות איומי סייבר, שמותירים ארגונים רבים במצב כיבוי שריפות מתמשך
• התעשייה מחסור בכישורים שמותירים צוותי מפתח חסרי כוח אדם
• עומס עבודה מוגזם עקב הגדלת הדרישות בחדר הישיבות
• היעדר משאבים ומימון מספקים
• עומס עבודה מאלץ CISOs לעבוד שעות ארוכות ולבטל חגים
• טרנספורמציה דיגיטלית, שממשיכה להרחיב את החברה משטח מתקפת סייבר
• דרישות ציות שממשיכות לגדול עם כל שנה שעוברת

אין זה מפתיע שרבע (24%) ממובילי IT ואבטחה גלובליים הודו לתרופות עצמיות כדי להקל על מתח. רמות הלחץ הגוברת לא רק מגדילות את הסבירות לשחיקה ו/או פרישה מוקדמת - הן עלולות להוביל לקבלת החלטות לקויה (כפי שצוין על ידי מחקר זה, למשל), כמו גם השפעה על מיומנויות קוגניטיביות ויכולת חשיבה רציונלית. ואכן, הוצע כי אפילו הציפייה ליום המלחיץ שלפנינו יכולה להשפיע על הקוגניציה. כשני שלישים (65%) מה-CISO לְהוֹדוֹת שלחץ הקשור לעבודה פגע ביכולתם לבצע בעבודה.

הבדיקה מפעילה לחץ נוסף של CISO

נוסף על קו הלחץ הבסיסי הזה הגיעה בדיקה נוספת של רגולציה, משפטית ודירקטוריון במהלך החודשים האחרונים. שלושה אירועים מהתקופה האחרונה מלמדים:

• 2023 מאי: לשעבר CSO של Uber, ג'ו סאליבן נידון לשלוש שנות מאסר על תנאי לאחר שנמצא אשם בשתי עבירות פליליות הקשורות לתפקידו בניסיון חיפוי של מגה-פריצה ב-2016. התומכים טוענים שהוא הועמד על ידי המנכ"ל דאז טראוויס קלניק ועורך הדין של אובר, קרייג קלארק, עם סאליבן מסביר שקלאניק חתם על התשלום השנוי במחלוקת של $100,000 להאקרים.
• אוקטובר 2023: בהתחלה, ה SEC חייבה את SolarWinds CISO טימותי בראון על כך שהמעיט או אי חשיפת סיכון סייבר תוך הערכת יתר על נוהלי האבטחה של החברה. התלונה מתייחסת למספר הערות פנימיות של בראון וטוענת שהוא לא הצליח לפתור או להעלות את החששות החמורים הללו בחברה.
• דצמבר 2023: כללי דיווח חדשים של SEC ייכנסו לתוקף, המחייבות חברות בבורסה לדווח על תקריות סייבר "מהותיות" בתוך ארבעה ימי עסקים מרגע קביעת המהותיות. חברות יצטרכו גם לתאר מדי שנה את התהליכים שלהן להערכת, זיהוי וניהול סיכונים וההשפעה של כל תקרית. והם יצטרכו לפרט את הפיקוח של הדירקטוריון על סיכוני הסייבר והמומחיות שלו בהערכת וניהול סיכונים כאלה.

לא רק בארה"ב מתפתח הפיקוח הרגולטורי. ההנחיה החדשה של 2 ₪ שתועבר לחוק המדינות החברות באיחוד האירופי עד אוקטובר 2024 מטילה אחריות ישירה על הדירקטוריון לאשר אמצעים לניהול סיכוני סייבר ולפקח על יישומם. חברי C-suite יכולים גם לשאת באחריות אישית אם יימצאו רשלניים במקרים של תקריות חמורות.

לפי אנליסט של קבוצת אסטרטגיה ארגונית (EST) ג'ון אולטסיק, הלחץ הגובר שמהלכים כאלה מפעילים על CISOs הופך את תפקיד הליבה שלהם להגיב לאיומים ולניהול סיכוני סייבר למאתגר יותר. מחקר ESG שנערך לאחרונה מגלה כי משימות כמו עבודה עם הדירקטוריון, פיקוח על עמידה ברגולציה וניהול תקציב הופכות את תפקיד ה-CISO מכזה שהוא טכני למכוון עסקי. במקביל, התלות הגוברת ב-IT כדי להניע את הטרנספורמציה הדיגיטלית וההצלחה העסקית הפכה למכריעה. הסקר טוען ש-65% מה-CISOs שקלו לעזוב את תפקידם עקב לחץ.

טייק אווי עבור CISOs ולוחות

השורה התחתונה היא שאם CISOs נאבקים להתמודד עם עומס העבודה, ומחשש לפעולות תגמול רגולטוריות ואפילו אחריות פלילית על מעשיהם, הם צפויים לקבל החלטות יומיומיות גרועות יותר. רבים עשויים אפילו לעזוב את התעשייה. כבר תהיה לכך השפעה מרושעת על מגזר נאבקים במחסור בכישורים.

אבל זה לא צריך להיות ככה. יש דברים ששני המועצות וגם ה-CISO שלהם יכולים לעשות כדי להקל על המצב. זה לטובת שניהם למצוא דרך לעבור את זה. שקול את הדברים הבאים:

• מועצות המנהלים צריכות להעריך את בריאות הנפש, עומס העבודה, המשאבים ומבני הדיווח של CISOs כדי לייעל את יעילותם. שיעורי שחיקה גבוהים יכולים להוביל לפערים ארוכים ללא CISO במשרה מלאה, מה שמפחית את המוטיבציה של הצוותים ומשפיע על אסטרטגיית האבטחה.
• מועצות המנהלים צריכות לתגמל את ה-CISO שלהן בהתאם לסיכון המוגבר שהתפקיד שלהן כרוך כעת.
• מעורבות קבועה של הדירקטוריון-CISO היא חיונית, עם קווי דיווח ישירים למנכ"ל במידת האפשר. זה יעזור לשפר את התקשורת בין השניים ולהעלות את עמדת ה-CISO בהתאם לאחריותם.
• מועצות המנהלים צריכות לספק ל-CISO שלהן ביטוח דירקטורים ונושאי משרה (D&O). כדי לעזור לבודד אותם מפני סיכון רציני.
• CISOs צריכים להישאר עם התעשייה שהם אוהבים, ולאמץ אחריות גדולה יותר במקום לברוח ממנה. אבל עליהם לזכור גם שתפקידם לייעץ ולספק הקשר לדירקטוריון. תן לאחרים לבצע את השיחות הגדולות.
• CISOs צריכים תמיד לתת עדיפות לשקיפות ופתיחות, במיוחד עם הרגולטורים.
• CISOs צריכים להיות מודעים למה שהם מפיצים פנימיים ולהבטיח שהחלטות או בקשות שנויות במחלוקת מה-C-suite נרשמות תמיד בכתב.

כאשר מוצאים תפקיד חדש, CISOs צריכים לשכור עורך דין אישי כדי לנהל את החוזה הפוטנציאלי שלהם בפירוט.

כדי לייעל את אסטרטגיית אבטחת הסייבר, מועצות המנהלים צריכות להתחיל בהערכה מחדש מה הן רוצות שתפקיד ה-CISO יהיה. השלב הבא הוא להבטיח שלמקצוען אבטחת הסייבר בתפקיד זה יש מספיק תמיכה ותגמול מספיק כדי לרצות להישאר שם.