אבטחה עסקית
עומסים כבדים וספקנות האחריות האישית לתקריות גובים מחיר ממנהיגי האבטחה, עד כדי כך שרבים מהם מחפשים את היציאות. מה זה אומר על הגנת הסייבר הארגונית?
08 פבואר 2024 • , 5 דקות לקרוא
סוף סוף אבטחת סייבר הופך לנושא ברמת הדירקטוריון. זה כמו שזה צריך להיות, לאור התפקיד ההולך וגדל של ניהול סיכוני סייבר בקבלת החלטות אסטרטגיות. סיכון סייבר הוא ביסודו סיכון עסקי ליבה עם פוטנציאל לעשות או לשבור ארגון. זו בהחלט החשיבה מאחורי כללים רגולטוריים חדשים בארצות הברית.
אבל על ידי הכרה בחשיבותו, מועצות ורגולטורים גם מפעילים לחץ רב יותר על CISOs, מבלי לתת להם הכרה ותגמול מתאימים. התוצאה: מתח גואה, שחיקה וחוסר שביעות רצון. שלושה רבעים (75%) מה-CISO אומרים שהם פתוח לשינוי, עלייה של שמונה נקודות אחוז בהשוואה לפני שנה. ו-64% מרוצים מתפקידם, ירידה של 10%.
לאתגרים הללו יש השלכות רציניות על אבטחת הסייבר בתוך ארגונים. הטיפול בהם צריך להיות בראש סדר העדיפויות.
תפקיד מלחיץ יותר ויותר
ל-CISO תמיד הייתה עבודה מלחיצה. בין הנהגים לאחרונה:
- מתייבש רמות איומי סייבר, שמותירים ארגונים רבים במצב כיבוי שריפות מתמשך
- התעשייה מחסור בכישורים שמותירים צוותי מפתח חסרי כוח אדם
- עומס עבודה מוגזם עקב הגדלת הדרישות בחדר הישיבות
- היעדר משאבים ומימון מספקים
- עומס עבודה מאלץ CISOs לעבוד שעות ארוכות ולבטל חגים
- טרנספורמציה דיגיטלית, שממשיכה להרחיב את החברה משטח מתקפת סייבר
- דרישות ציות שממשיכות לגדול עם כל שנה שעוברת
אין זה מפתיע שרבע (24%) ממובילי IT ואבטחה גלובליים הודו לתרופות עצמיות כדי להקל על מתח. רמות הלחץ הגוברת לא רק מגדילות את הסבירות לשחיקה ו/או פרישה מוקדמת - הן עלולות להוביל לקבלת החלטות לקויה (כפי שצוין על ידי מחקר זה, למשל), כמו גם השפעה על מיומנויות קוגניטיביות ויכולת חשיבה רציונלית. ואכן, הוצע כי אפילו הציפייה ליום המלחיץ שלפנינו יכולה להשפיע על הקוגניציה. כשני שלישים (65%) מה-CISO לְהוֹדוֹת שלחץ הקשור לעבודה פגע ביכולתם לבצע בעבודה.
הבדיקה מפעילה לחץ נוסף של CISO
נוסף על קו הלחץ הבסיסי הזה הגיעה בדיקה נוספת של רגולציה, משפטית ודירקטוריון במהלך החודשים האחרונים. שלושה אירועים מהתקופה האחרונה מלמדים:
- 2023 מאי: לשעבר CSO של Uber, ג'ו סאליבן נידון לשלוש שנות מאסר על תנאי לאחר שנמצא אשם בשתי עבירות פליליות הקשורות לתפקידו בניסיון חיפוי של מגה-פריצה ב-2016. התומכים טוענים שהוא הועמד על ידי המנכ"ל דאז טראוויס קלניק ועורך הדין של אובר, קרייג קלארק, עם סאליבן מסביר שקלאניק חתם על התשלום השנוי במחלוקת של $100,000 להאקרים.
- אוקטובר 2023: בהתחלה, ה SEC חייבה את SolarWinds CISO טימותי בראון על כך שהמעיט או אי חשיפת סיכון סייבר תוך הערכת יתר על נוהלי האבטחה של החברה. התלונה מתייחסת למספר הערות פנימיות של בראון וטוענת שהוא לא הצליח לפתור או להעלות את החששות החמורים הללו בחברה.
- דצמבר 2023: כללי דיווח חדשים של SEC ייכנסו לתוקף, המחייבות חברות בבורסה לדווח על תקריות סייבר "מהותיות" בתוך ארבעה ימי עסקים מרגע קביעת המהותיות. חברות יצטרכו גם לתאר מדי שנה את התהליכים שלהן להערכת, זיהוי וניהול סיכונים וההשפעה של כל תקרית. והם יצטרכו לפרט את הפיקוח של הדירקטוריון על סיכוני הסייבר והמומחיות שלו בהערכת וניהול סיכונים כאלה.
לא רק בארה"ב מתפתח הפיקוח הרגולטורי. ההנחיה החדשה של 2 ₪ שתועבר לחוק המדינות החברות באיחוד האירופי עד אוקטובר 2024 מטילה אחריות ישירה על הדירקטוריון לאשר אמצעים לניהול סיכוני סייבר ולפקח על יישומם. חברי C-suite יכולים גם לשאת באחריות אישית אם יימצאו רשלניים במקרים של תקריות חמורות.
לפי אנליסט של קבוצת אסטרטגיה ארגונית (EST) ג'ון אולטסיק, הלחץ הגובר שמהלכים כאלה מפעילים על CISOs הופך את תפקיד הליבה שלהם להגיב לאיומים ולניהול סיכוני סייבר למאתגר יותר. מחקר ESG שנערך לאחרונה מגלה כי משימות כמו עבודה עם הדירקטוריון, פיקוח על עמידה ברגולציה וניהול תקציב הופכות את תפקיד ה-CISO מכזה שהוא טכני למכוון עסקי. במקביל, התלות הגוברת ב-IT כדי להניע את הטרנספורמציה הדיגיטלית וההצלחה העסקית הפכה למכריעה. הסקר טוען ש-65% מה-CISOs שקלו לעזוב את תפקידם עקב לחץ.
טייק אווי עבור CISOs ולוחות
השורה התחתונה היא שאם CISOs נאבקים להתמודד עם עומס העבודה, ומחשש לפעולות תגמול רגולטוריות ואפילו אחריות פלילית על מעשיהם, הם צפויים לקבל החלטות יומיומיות גרועות יותר. רבים עשויים אפילו לעזוב את התעשייה. כבר תהיה לכך השפעה מרושעת על מגזר נאבקים במחסור בכישורים.
אבל זה לא צריך להיות ככה. יש דברים ששני המועצות וגם ה-CISO שלהם יכולים לעשות כדי להקל על המצב. זה לטובת שניהם למצוא דרך לעבור את זה. שקול את הדברים הבאים:
- מועצות המנהלים צריכות להעריך את בריאות הנפש, עומס העבודה, המשאבים ומבני הדיווח של CISOs כדי לייעל את יעילותם. שיעורי שחיקה גבוהים יכולים להוביל לפערים ארוכים ללא CISO במשרה מלאה, מה שמפחית את המוטיבציה של הצוותים ומשפיע על אסטרטגיית האבטחה.
- מועצות המנהלים צריכות לתגמל את ה-CISO שלהן בהתאם לסיכון המוגבר שהתפקיד שלהן כרוך כעת.
- מעורבות קבועה של הדירקטוריון-CISO היא חיונית, עם קווי דיווח ישירים למנכ"ל במידת האפשר. זה יעזור לשפר את התקשורת בין השניים ולהעלות את עמדת ה-CISO בהתאם לאחריותם.
- מועצות המנהלים צריכות לספק ל-CISO שלהן ביטוח דירקטורים ונושאי משרה (D&O). כדי לעזור לבודד אותם מפני סיכון רציני.
- CISOs צריכים להישאר עם התעשייה שהם אוהבים, ולאמץ אחריות גדולה יותר במקום לברוח ממנה. אבל עליהם לזכור גם שתפקידם לייעץ ולספק הקשר לדירקטוריון. תן לאחרים לבצע את השיחות הגדולות.
- CISOs צריכים תמיד לתת עדיפות לשקיפות ופתיחות, במיוחד עם הרגולטורים.
- CISOs צריכים להיות מודעים למה שהם מפיצים פנימיים ולהבטיח שהחלטות או בקשות שנויות במחלוקת מה-C-suite נרשמות תמיד בכתב.
כאשר מוצאים תפקיד חדש, CISOs צריכים לשכור עורך דין אישי כדי לנהל את החוזה הפוטנציאלי שלהם בפירוט.
כדי לייעל את אסטרטגיית אבטחת הסייבר, מועצות המנהלים צריכות להתחיל בהערכה מחדש מה הן רוצות שתפקיד ה-CISO יהיה. השלב הבא הוא להבטיח שלמקצוען אבטחת הסייבר בתפקיד זה יש מספיק תמיכה ותגמול מספיק כדי לרצות להישאר שם.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.welivesecurity.com/en/business-security/buck-stops-stakes-high-cisos/
- :יש ל
- :הוא
- :לֹא
- :איפה
- $ למעלה
- 000
- 2016
- 2023
- 2024
- 35%
- 91
- a
- יכולת
- אודות
- פעולות
- פְּנִיָה
- נאות
- לייעץ
- לאחר
- לִפנֵי
- קדימה
- להקל
- כְּבָר
- גם
- תמיד
- בין
- an
- מנתח
- ו
- מדי שנה
- ציפייה
- כל
- לאשר
- ARE
- AS
- לְהַעֲרִיך
- הערכה
- At
- ניסיתי
- התשה
- רָחוֹק
- Baseline
- BE
- להיות
- היה
- מאחור
- להיות
- הטוב ביותר
- בֵּין
- גָדוֹל
- לוּחַ
- שניהם
- תַחתִית
- חום
- תקציב
- בִּניָן
- שחיקה
- עסקים
- אבל
- by
- סוויטת C
- שיחות
- CAN
- מקרים
- קטגוריה
- מנכ"ל
- בהחלט
- האתגרים
- אתגר
- שינוי
- טעון
- CISO
- לטעון
- טענות
- קוגניציה
- קוגניטיבית
- איך
- הערות
- תקשורת
- חברה
- תלונה
- הענות
- התפשר
- דאגות
- לשקול
- נחשב
- הקשר
- להמשיך
- ממשיך
- רציף
- חוזה
- שנוי במחלוקת
- ליבה
- משותף
- יכול
- לכסות
- קרייג
- פלילי
- סייבר
- אבטחת סייבר
- יְוֹם
- מיום ליום
- ימים
- החלטה
- קבלת החלטות
- החלטות
- תלות
- לתאר
- פרט
- נחישות
- דיגיטלי
- טרנספורמציה דיגיטלית
- ישיר
- לחשוף
- do
- עושה
- לא
- לא
- מטה
- נהגים
- ראוי
- כל אחד
- מוקדם
- יְעִילוּת
- שמונה
- הרם
- מורם
- לחבק
- התעסקות
- מספיק
- לְהַבטִיחַ
- ESG
- במיוחד
- חיוני
- EU
- אֲפִילוּ
- אירועים
- דוגמה
- יציאות
- לְהַרְחִיב
- מומחיות
- נוסף
- נכשל
- אי
- פחד
- פבואר
- בסופו של דבר
- מציאת
- חברות
- ראשון
- הבא
- בעד
- להכריח
- כוחות
- לשעבר
- מצא
- ארבע
- החל מ-
- ביסודו
- נוסף
- פערים
- נתן
- נתינה
- גלוֹבָּלִי
- Go
- יותר
- קְבוּצָה
- לגדול
- גדל
- אשם
- האקרים
- היה
- יש
- he
- בְּרִיאוּת
- הוחזק
- לעזור
- כאן
- גָבוֹהַ
- לִשְׂכּוֹר
- שֶׁלוֹ
- שעות
- HTML
- HTTPS
- הַרבֵּה מְאוֹד
- זיהוי
- if
- פְּגִיעָה
- השפעות
- הפעלה
- השלכות
- חשיבות
- חשוב
- לשפר
- in
- להגדיל
- גדל
- יותר ויותר
- אכן
- תעשייה
- אינטרסים
- פנימי
- כלפי פנים
- אל תוך
- IT
- שֶׁלָה
- עבודה
- ג'ון
- jpg
- רק
- שופט
- מפתח
- חוסר
- חוק
- עורך דין
- עוֹפֶרֶת
- מנהיגים
- יציאה
- עזיבה
- משפטי
- לתת
- רמות
- אחריות
- סְבִירוּת
- סביר
- קו
- קווים
- ברשימה
- ארוך
- נראה
- אהבה
- עשוי
- לעשות
- עשייה
- ניהול
- ניהול
- רב
- max-width
- מאי..
- אומר
- אמצעים
- חבר
- להרשם/להתחבר
- נפשי
- בריאות נפש
- דקות
- חודשים
- יותר
- מהלכים
- הרבה
- צריך
- בהכרח
- צורך
- חדש
- הבא
- לא
- ציין
- עַכשָׁיו
- אוֹקְטוֹבֶּר
- of
- כבוי
- קצינים
- on
- ONE
- לפתוח
- פתיחות
- מטב
- or
- ארגונים
- אחרים
- יותר
- - פיקוח
- הַשׁגָחָה
- מֶחדָל
- מכריע
- חולף
- תשלום
- אחוזים
- לְבַצֵעַ
- אישי
- אישית
- פיל
- הַצָבָה
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- משחק
- נקודות
- עני
- עמדה
- אפשרי
- פוטנציאל
- כּוֹחַ
- פרקטיקות
- לחץ
- תיעדוף
- עדיפות
- תהליכים
- מקצועי
- לְעַתִיד
- לספק
- בפומבי
- ברשימה הציבורית
- מכניס
- רובע
- תעריפים
- במקום
- לאחרונה
- לאחרונה
- הכרה
- זיהוי
- מוקלט
- מתייחס
- רגולטורים
- רגולטורים
- התאמה לתקנות
- פיקוח רגולטורי
- קָשׁוּר
- לזכור
- לדווח
- דווח
- בקשות
- דרישות
- לפתור
- משאבים
- להגיב
- אחריות
- אחריות
- תוצאה
- פרישה
- מגלה
- לגמול
- הסיכון
- ניהול סיכונים
- תפקיד
- הפעלה
- s
- אמר
- אותו
- מרוצה
- מרוצה מ
- בדיקה
- ה-SEC
- מגזר
- אבטחה
- רציני
- סט
- כמה
- צריך
- חָתוּם
- מצב
- מיומנויות
- So
- השמש
- כמה
- רוח רפאים
- הימור
- התחלה
- הברית
- להשאר
- שלב
- עוצר
- אסטרטגי
- אִסטרָטֶגִיָה
- לחץ
- מבנים
- נאבק
- לימוד
- הצלחה
- כזה
- מספיק
- מַתְאִים
- סאליבן
- תמיכה
- תומכים
- גואה
- הפתעה
- סֶקֶר
- לקחת
- משימות
- צוותי
- טכני
- מֵאֲשֶׁר
- זֶה
- השמיים
- שֶׁלָהֶם
- אותם
- שם.
- אלה
- הֵם
- דברים
- לחשוב
- חושב
- זֶה
- איומים
- שְׁלוֹשָׁה
- דרך
- זמן
- כותרת
- ל
- חלק עליון
- טרנספורמציה
- שקיפות
- פנייה
- שתיים
- שני שליש
- סופר
- דחוף
- us
- רוצה
- היה
- דֶרֶך..
- טוֹב
- מה
- אשר
- בזמן
- למה
- רוחב
- יצטרך
- עם
- בתוך
- לְלֹא
- תיק עבודות
- עובד
- גרוע יותר
- היה
- כתיבה
- שנה
- זפירנט