Pengene stopper her: innsatsen er høy for CISOer

Pengene stopper her: innsatsen er høy for CISOer

Tidsstempel: 8. februar 2024 5:30

Forretningssikkerhet

Tung arbeidsbelastning og spekteret av personlig ansvar for hendelser tar en toll på sikkerhetsledere, så mye at mange av dem ser etter utgangene. Hva betyr dette for bedriftens cyberforsvar?

Phil Muncaster

Phil Muncaster

08 februar 2024  •  , 5 min. lese

Pengene stopper her: Hvorfor innsatsen er høy for CISOer

Cybersikkerhet er endelig blir et problem på styrenivå. Det er som det skal være, gitt den stadig viktigere rollen cyberrisikostyring spiller i strategisk beslutningstaking. Cyber-risiko er grunnleggende en kjernevirksomhet risiko med potensial til å gjøre eller bryte en organisasjon. Det er absolutt tanken bak nye reguleringsregler i USA. 

Men ved å erkjenne dens betydning legger styrer og regulatorer også mer press på CISOer, uten at de nødvendigvis gir dem passende anerkjennelse og belønning. Resultatet: økende stress, utbrenthet og misnøye. Tre fjerdedeler (75%) av CISOer sies å være åpen for en endring, opp åtte prosentpoeng fra for ett år siden. Og 64 % er fornøyd med rollen sin, ned 10 %.

Disse utfordringene har alvorlige implikasjoner for cybersikkerhet i organisasjoner. Å adressere dem bør være en presserende prioritet.

En stadig mer stressende rolle

CISOer har alltid hatt en stressende jobb. Blant sjåførene nylig er:

  • bølgende nivåer av cybertrusler, som etterlater mange organisasjoner i kontinuerlig brannslokkingsmodus
  • Industri kompetansemangel som etterlater nøkkelteam underbemannet
  • Overdreven arbeidsmengde på grunn av økende styreromskrav
  • Mangel på tilstrekkelige ressurser og finansiering
  • Arbeidsbelastning som tvinger CISOer til å jobbe lange timer og avlyse ferier
  • Digital transformasjon, som fortsetter å utvide bedriften cyberangrep overflate
  • Samsvarskrav som fortsetter å vokse for hvert år som går

Det er ingen overraskelse at en fjerdedel (24%) av globale IT- og sikkerhetsledere har innrømmet til selvmedisinering for å lindre stress. De økende stressnivåene øker ikke bare sannsynligheten for utbrenthet og/eller tidlig pensjonering – de kan føre til dårlig beslutningstaking (som bemerket av denne studien, for eksempel), samt påvirke kognitive ferdigheter og evnen til å tenke rasjonelt. Det har faktisk blitt antydet at selv påvente av en stressende dag fremover kan påvirke kognisjon. Omtrent to tredjedeler (65 %) av CISO-er innrømme at jobbrelatert stress har svekket deres evne til å prestere på jobb.

Gransking utøver ytterligere CISO-press

På toppen av denne grunnlinjen av stress har det kommet ekstra regulatorisk, juridisk og styrekontroll de siste månedene. Tre nylige hendelser er lærerike:

  • May 2023: Tidligere Uber CSO, Joe Sullivan ble dømt til tre års prøvetid etter å ha blitt funnet skyldig i to forbrytelser knyttet til hans rolle i et forsøk på tildekning av et mega-brudd i 2016. Tilhengere hevder at han ble syndebukket av daværende administrerende direktør Travis Kalanick og den interne Uber-advokaten Craig Clark, med Sullivan forklarer at Kalanick hadde skrevet under på sin kontroversielle betaling på 100,000 XNUMX dollar til hackerne.
  • Oktober 2023: I en første, den SEC belastet SolarWinds CISO Timothy Brown for å bagatellisere eller unnlate å avsløre nettrisiko mens han overvurderte firmaets sikkerhetspraksis. Klagen viser til flere interne kommentarer fra Brown og hevder at han ikke klarte å løse eller heve disse alvorlige bekymringene i selskapet.
  • Desember 2023: Nye SEC-rapporteringsregler trer i kraft, og krever at børsnoterte firmaer rapporterer "vesentlige" cyberhendelser innen fire virkedager etter at vesentligheten er fastslått. Bedrifter må også årlig beskrive sine prosesser for å vurdere, identifisere og håndtere risiko og virkningen av eventuelle hendelser. Og de må detaljere styrets tilsyn med cyberrisiko og dens ekspertise i å vurdere og håndtere slik risiko.

Det er ikke bare i USA hvor regulatorisk tilsyn bygges opp. Det nye NIS2-direktivet som skal implementeres i EUs medlemsland innen oktober 2024, legger et direkte ansvar på styret for å godkjenne tiltak for håndtering av cyberrisiko og overvåke implementeringen av dem. Medlemmer av C-suiten kan også holdes personlig ansvarlig dersom de blir funnet uaktsomme i tilfeller av alvorlige hendelser.

Ifølge Enterprise Strategy Group (EST) analytiker Jon Oltsik, det økende presset slike trekk legger på CISO-er gjør kjernejobben deres med å svare på trusler og håndtere cyberrisiko mer utfordrende. En fersk ESG-studie avslører at oppgaver som å jobbe med styret, overvåke regeloverholdelse og administrere et budsjett gjør at CISO-rollen endres fra en som er teknisk til forretningsorientert. Samtidig har den økende avhengigheten av IT for å drive digital transformasjon og forretningssuksess blitt overveldende. Undersøkelsen hevder at 65 % av CISOer har vurdert å forlate rollen sin på grunn av stress.

cisos-utbrenthet-stress-ansvar

Takeaways for CISOer og styrer

Poenget er at hvis CISOer sliter med å takle arbeidsmengden, og i frykt for regulatoriske represalier og til og med straffeansvar for sine handlinger, vil de sannsynligvis ta verre daglige avgjørelser. Mange kan til og med forlate bransjen. Dette vil allerede ha en enorm ondartet innvirkning på en sektor sliter med kompetansemangel.

Men det trenger ikke være slik. Det er ting som både styrene og deres CISOer kan gjøre for å lindre situasjonen. Det er i begges interesse å finne en vei gjennom dette. Vurder følgende:

  • Styrene bør vurdere CISOs mentale helse, arbeidsmengde, ressurser og rapporteringsstrukturer for å optimalisere effektiviteten. Høye utmattelsesrater kan føre til lange hull uten en CISO på heltid, noe som demotiverer team og påvirker sikkerhetsstrategien.
  • Styrer bør avlønne sine CISOer i tråd med den økte risikoen deres rolle nå innebærer.
  • Regelmessig styre-CISO-engasjement er avgjørende, med direkte rapporteringslinjer til administrerende direktør hvis mulig. Dette vil bidra til å forbedre kommunikasjonen mellom de to og heve stillingen til CISO i tråd med deres ansvar.
  • Styrene bør gi sine CISOer forsikring for styremedlemmer og offiserer (D&O). for å hjelpe til med å isolere dem fra alvorlig risiko.
  • CISOer bør holde seg til bransjen de elsker, og omfavne større ansvar i stedet for å flykte fra det. Men de må også huske at deres rolle er å gi råd og gi kontekst til styret. La andre ta de store samtalene.
  • CISOer bør alltid prioritere åpenhet og åpenhet, spesielt overfor regulatorer.
  • CISOer bør være oppmerksomme på hva de sirkulerer internt og sikre at omstridte avgjørelser eller forespørsler fra C-suiten alltid registreres skriftlig.

Når de finner en ny rolle, bør CISOer ansette en personlig advokat for å gå gjennom deres potensielle kontrakt i detalj.

For å optimalisere cybersikkerhetsstrategien bør styrene starte med å revurdere hva de vil at CISO-rollen skal være. Det neste trinnet er å sikre at cybersikkerhetseksperten i den rollen har nok støtte og tilstrekkelig belønning til å ønske å bli der.

Tidstempel:

Mer fra Vi lever sikkerhet