Hier stopt het geld: de inzet is hoog voor CISO's

Zakelijke beveiliging

De hoge werkdruk en het schrikbeeld van persoonlijke aansprakelijkheid voor incidenten eisen hun tol van veiligheidsleiders, zozeer zelfs dat velen van hen de uitgang zoeken. Wat betekent dit voor de cyberverdediging van bedrijven?

Phil Muncaster

Februari 08 2024  •  , 5 minuut. lezen

Cyberveiligheid is eindelijk een kwestie op bestuursniveau worden. Dat is zoals het zou moeten zijn, gezien de steeds belangrijkere rol die cyberrisicobeheer speelt bij strategische besluitvorming. Cyberrisico is in wezen een kernbedrijfsrisico dat de potentie heeft om risico's te nemen een organisatie breken. Dat is zeker de gedachte erachter nieuwe regelgevingsregels in de Verenigde Staten. 

Maar door het belang ervan te erkennen, oefenen besturen en toezichthouders ook meer druk uit op CISO's, zonder hen noodzakelijkerwijs passende erkenning en beloning te geven. Het gevolg: oplopende stress, burn-out en ontevredenheid. Driekwart (75%) van de CISO's er wordt gezegd dat open voor verandering, een stijging van acht procentpunten ten opzichte van een jaar geleden. En 64% is tevreden met hun rol, een daling van 10%.

Deze uitdagingen hebben ernstige gevolgen voor de cyberveiligheid binnen organisaties. Het aanpakken ervan moet een dringende prioriteit zijn.

Een steeds stressvollere rol

CISO's hebben altijd een stressvolle baan gehad. Onder de chauffeurs zijn onlangs:

• Stijgend cyberdreigingsniveaus, waardoor veel organisaties voortdurend in de brandbestrijdingsmodus verkeren
• Industrie tekorten aan vaardigheden waardoor de belangrijkste teams onderbezet zijn
• Overmatige werkdruk als gevolg van toenemende eisen aan de bestuurskamer
• Een gebrek aan adequate middelen en financiering
• Werkdruk die CISO's dwingt lange dagen te werken en vakanties te annuleren
• Digitale transformatie, die het bedrijf blijft uitbreiden cyberaanval oppervlak
• Nalevingsvereisten die elk jaar blijven groeien

Het is geen verrassing dat een kwart (24%) van de mondiale IT- en beveiligingsleiders dit doet hebben toegegeven tot zelfmedicatie om stress te verlichten. De toenemende stressniveaus vergroten niet alleen de kans op burn-out en/of vervroegde pensionering – ze kunnen ook leiden tot slechte besluitvorming (zoals opgemerkt door deze studie, bijvoorbeeld), maar hebben ook invloed op cognitieve vaardigheden en het vermogen om rationeel te denken. Er is zelfs gesuggereerd dat zelfs het vooruitzicht op de komende stressvolle dag de cognitie kan beïnvloeden. Ongeveer tweederde (65%) van de CISO's toegeven dat werkgerelateerde stress hun vermogen om op het werk te presteren in gevaar heeft gebracht.

Controle oefent nog meer druk uit op de CISO

Bovenop deze stressvolle situatie is er de afgelopen maanden extra toezicht op regelgevings-, juridisch en bestuurlijk vlak gekomen. Drie recente gebeurtenissen zijn leerzaam:

• Mei 2023: Voormalig Uber-CSO, Joe Sullivan werd veroordeeld tot een proeftijd van drie jaar nadat hij schuldig werd bevonden aan twee misdrijven die verband hielden met zijn rol in een poging tot het verdoezelen van een mega-inbreuk uit 2016. Voorstanders beweren dat hij door de toenmalige CEO Travis Kalanick en de interne Uber-advocaat Craig Clark tot zondebok werd gemaakt. Sullivan legt het uit dat Kalanick zijn controversiële betaling van $ 100,000 aan de hackers had ondertekend.
• Oktober 2023: In een primeur, de SEC heeft de CISO van SolarWinds aangeklaagd Timothy Brown voor het bagatelliseren of niet openbaar maken van cyberrisico's, terwijl hij de beveiligingspraktijken van het bedrijf overdrijft. De klacht verwijst naar verschillende interne opmerkingen van Brown en beweert dat hij er niet in is geslaagd deze ernstige zorgen binnen het bedrijf op te lossen of naar voren te brengen.
• December 2023: Nieuwe SEC-rapportageregels van kracht worden, waarbij beursgenoteerde bedrijven worden verplicht om “materiële” cyberincidenten binnen vier werkdagen na de vaststelling van de materialiteit te melden. Bedrijven zullen ook jaarlijks hun processen voor het beoordelen, identificeren en beheren van risico's en de impact van eventuele incidenten moeten beschrijven. En ze zullen het toezicht van de raad van bestuur op cyberrisico's en zijn expertise op het gebied van het beoordelen en beheren van dergelijke risico's gedetailleerd moeten beschrijven.

Het is niet alleen in de VS dat het toezicht door de toezichthouders toeneemt. De nieuwe NIS2-richtlijn die tegen oktober 2024 in de wetgeving van de EU-lidstaten moet zijn omgezet, legt een directe verantwoordelijkheid bij het bestuur om maatregelen voor cyberrisicobeheer goed te keuren en toezicht te houden op de implementatie ervan. Leden van de C-suite kunnen ook persoonlijk aansprakelijk worden gesteld als zij nalatig worden bevonden bij ernstige incidenten.

Think Enterprise Strategy Group (EST)-analist Jon OltsikDe toenemende druk die dergelijke maatregelen op CISO's uitoefenen, maakt hun kerntaak, het reageren op bedreigingen en het beheersen van cyberrisico's, uitdagender. Uit een recent ESG-onderzoek blijkt dat taken als het samenwerken met het bestuur, het toezicht houden op de naleving van de regelgeving en het beheren van een budget ervoor zorgen dat de rol van de CISO verandert van een technische naar een bedrijfsgerichte rol. Tegelijkertijd is de groeiende afhankelijkheid van IT om digitale transformatie en zakelijk succes te stimuleren overweldigend geworden. Uit het onderzoek blijkt dat 65% van de CISO's heeft overwogen hun functie op te zeggen vanwege stress.

Takeaways voor CISO's en besturen

Het komt erop neer dat als CISO's moeite hebben met het omgaan met de werkdruk en uit angst voor represailles van de toezichthouders en zelfs strafrechtelijke aansprakelijkheid voor hun daden, ze waarschijnlijk slechtere dagelijkse beslissingen zullen nemen. Velen zullen misschien zelfs de sector verlaten. Dit zou al een enorm kwaadaardige impact hebben op een sector kampt met tekorten aan vaardigheden.

Maar het hoeft niet zo te zijn. Er zijn dingen die zowel besturen als hun CISO's kunnen doen om de situatie te verlichten. Het is in hun beider belang om hier een weg doorheen te vinden. Stel je de volgende situatie voor:

• Bestuurders moeten de geestelijke gezondheid, werklast, middelen en rapportagestructuren van CISO's beoordelen om hun effectiviteit te optimaliseren. Een hoog personeelsverloop kan leiden tot grote gaten zonder een fulltime CISO, wat teams demotiveert en gevolgen heeft voor de beveiligingsstrategie.
• Bestuurders moeten hun CISO's belonen in overeenstemming met het verhoogde risico dat hun rol nu met zich meebrengt.
• Regelmatige betrokkenheid van het bestuur en de CISO is essentieel, met indien mogelijk directe rapportagelijnen naar de CEO. Dit zal de communicatie tussen de twee helpen verbeteren en de positie van de CISO verbeteren in overeenstemming met hun verantwoordelijkheden.
• Besturen moeten hun CISO's hiervan voorzien bestuurders- en functionarissenverzekeringen (D&O). om hen te helpen beschermen tegen ernstige risico's.
• CISO's moeten vasthouden aan de branche waar ze van houden, en een grotere verantwoordelijkheid omarmen in plaats van ervoor weg te lopen. Maar ze moeten ook niet vergeten dat het hun rol is om het bestuur te adviseren en context te bieden. Laat anderen de grote beslissingen nemen.
• CISO's moeten altijd prioriteit geven aan transparantie en openheid, vooral tegenover toezichthouders.
• CISO's moeten zich bewust zijn van wat zij intern circuleren en ervoor zorgen dat controversiële beslissingen of verzoeken van de C-suite altijd schriftelijk worden vastgelegd.

Bij het vinden van een nieuwe rol moeten CISO's een persoonlijke advocaat inhuren om hun toekomstige contract in detail door te nemen.

Om de cybersecuritystrategie te optimaliseren, moeten besturen beginnen met opnieuw beoordelen wat zij willen dat de CISO-rol wordt. De volgende stap is ervoor te zorgen dat de cybersecurityprofessional in die rol voldoende steun en voldoende beloning krijgt om daar te willen blijven.