Tutaj wszystko się kończy: stawka dla CISO jest wysoka

Tutaj wszystko się kończy: stawka dla CISO jest wysoka

Znacznik czasu: 8 lutego 2024 r. 5:30

Bezpieczeństwo biznesowe

Duże obciążenie pracą i widmo osobistej odpowiedzialności za incydenty odbijają się na liderach bezpieczeństwa do tego stopnia, że ​​wielu z nich szuka wyjścia. Co to oznacza dla korporacyjnej cyberobrony?

Phila Muncastera

Phila Muncastera

Luty 08 2024  •  , 5 minuta. czytać

Tutaj wszystko się kończy: dlaczego stawka dla CISO jest wysoka

Wreszcie jest cyberbezpieczeństwo staje się sprawą na szczeblu zarządu. Tak właśnie powinno być, biorąc pod uwagę coraz ważniejszą rolę, jaką odgrywa zarządzanie ryzykiem cybernetycznym w podejmowaniu strategicznych decyzji. Ryzyko cybernetyczne jest zasadniczo podstawowym ryzykiem biznesowym, które może spowodować lub rozbić organizację. Z pewnością taki jest sposób myślenia nowe zasady regulacyjne w Stanach Zjednoczonych. 

Jednak uznając jego znaczenie, zarządy i organy regulacyjne wywierają również większą presję na CISO, niekoniecznie zapewniając im odpowiednie uznanie i nagrodę. Efekt: rosnący stres, wypalenie zawodowe i niezadowolenie. Trzy czwarte (75%) CISO mówi się, że jest otwarty na zmiany, o osiem punktów procentowych wyższy niż rok temu. A 64% jest zadowolonych ze swojej roli, co oznacza spadek o 10%.

Wyzwania te mają poważne konsekwencje dla cyberbezpieczeństwa w organizacjach. Zajęcie się nimi powinno być pilnym priorytetem.

Coraz bardziej stresująca rola

CISO zawsze mieli stresującą pracę. Wśród kierowców ostatnio są:

  • Zalegającą poziomy cyberzagrożeń, które pozostawiają wiele organizacji w ciągłym trybie gaszenia pożarów
  • Przemysłowe niedobory umiejętności przez co w kluczowych zespołach brakuje personelu
  • Nadmierne obciążenie pracą ze względu na rosnące wymagania sali konferencyjnej
  • Brak odpowiednich środków i finansowania
  • Obciążenie pracą zmuszające CISO do długich godzin pracy i rezygnacji z urlopów
  • Transformacja cyfrowa, która stale rozwija przedsiębiorstwo powierzchnia cyberataku
  • Wymagania dotyczące zgodności, które z każdym rokiem rosną

Nic dziwnego, że jedna czwarta (24%) światowych liderów IT i bezpieczeństwa przyznali samoleczenia, aby złagodzić stres. Rosnący poziom stresu nie tylko zwiększa prawdopodobieństwo wypalenia zawodowego i/lub wcześniejszej emerytury – może prowadzić do podejmowania błędnych decyzji (jak zauważył to badaniena przykład), a także wpływają na zdolności poznawcze i zdolność racjonalnego myślenia. Rzeczywiście, sugeruje się, że nawet oczekiwanie na stresujący dzień może mieć wpływ na funkcje poznawcze. Około dwie trzecie (65%) CISO przyznać że stres związany z pracą zmniejszył ich zdolność do wykonywania pracy.

Kontrola wywiera dalszy nacisk na CISO

Oprócz tego podstawowego napięcia w ostatnich miesiącach nastąpiła dodatkowa kontrola regulacyjna, prawna i zarządcza. Trzy ostatnie wydarzenia są pouczające:

  • Maj 2023: Były dyrektor ds. obsługi Ubera, Joe Sullivan został skazany na trzy lata w zawieszeniu po uznaniu go za winnego dwóch przestępstw związanych z jego rolą w próbie zatuszowania meganaruszenia z 2016 r. Zwolennicy twierdzą, że stał się kozłem ofiarnym przez ówczesnego dyrektora generalnego Travisa Kalanicka i wewnętrznego prawnika Ubera Craiga Clarka. Wyjaśnienie Sullivana że Kalanick podpisał kontrowersyjną płatność 100,000 XNUMX dolarów na rzecz hakerów.
  • Październik 2023: W pierwszej kolejności SEC obciążyła SolarWinds CISO Timothy’emu Brownowi za bagatelizowanie lub nieujawnienie zagrożeń cybernetycznych przy jednoczesnym wyolbrzymianiu praktyk firmy w zakresie bezpieczeństwa. W skardze odniesiono się do kilku wewnętrznych komentarzy Browna i zarzucono mu, że nie rozwiązał on ani nie podniósł tych poważnych obaw w firmie.
  • Grudzień 2023: Nowe zasady raportowania SEC weszły w życie, wymagając od spółek notowanych na giełdzie zgłaszania „istotnych” incydentów cybernetycznych w ciągu czterech dni roboczych od ustalenia ich istotności. Firmy będą również musiały co roku opisywać swoje procesy oceny, identyfikacji i zarządzania ryzykiem oraz skutków wszelkich incydentów. Będą musieli także szczegółowo opisać nadzór zarządu nad ryzykiem cybernetycznym oraz jego wiedzę specjalistyczną w zakresie oceny takiego ryzyka i zarządzania nim.

Nie tylko w USA buduje się nadzór regulacyjny. Nowa dyrektywa NIS2, która ma zostać transponowana do prawa państw członkowskich UE do października 2024 r., nakłada na zarząd bezpośrednią odpowiedzialność za zatwierdzanie środków zarządzania ryzykiem cybernetycznym i nadzorowanie ich wdrażania. Członkowie kadry kierowniczej mogą również ponosić osobistą odpowiedzialność, jeśli zostaną uznani za zaniedbania w przypadku poważnych incydentów.

Zgodnie z Analityk Enterprise Strategy Group (EST) Jon Oltsikrosnąca presja, jaką takie posunięcia wywierają na CISO, sprawia, że ​​ich podstawowe zadanie, jakim jest reagowanie na zagrożenia i zarządzanie ryzykiem cybernetycznym, staje się coraz trudniejsze. Niedawne badanie ESG pokazuje, że zadania takie jak praca z zarządem, nadzorowanie zgodności z przepisami i zarządzanie budżetem zmieniają rolę CISO z funkcji technicznej na zorientowaną na biznes. Jednocześnie rosnąca zależność od IT w zakresie transformacji cyfrowej i sukcesu biznesowego stała się przytłaczająca. Z badania wynika, że ​​65% CISO rozważało odejście ze swojego stanowiska ze względu na stres.

cisos-wypalenie-stres-odpowiedzialność

Dania na wynos dla CISO i zarządów

Konkluzja jest taka, że ​​jeśli CISO z trudem radzą sobie z obciążeniem pracą i obawiają się represji regulacyjnych, a nawet odpowiedzialności karnej za swoje czyny, prawdopodobnie będą podejmować gorsze decyzje z dnia na dzień. Wielu może nawet opuścić branżę. Miałoby to już niezwykle zły wpływ na sektor zmaga się z niedoborami umiejętności.

Ale to nie musi tak wyglądać. Są rzeczy, które zarówno zarządy, jak i ich CISO mogą zrobić, aby złagodzić sytuację. Znalezienie sposobu na rozwiązanie tej sytuacji leży w ich najlepszym interesie. Rozważ następujące:

  • Rady powinny oceniać zdrowie psychiczne CISO, obciążenie pracą, zasoby i struktury raportowania, aby zoptymalizować ich skuteczność. Wysokie wskaźniki utraty pracowników mogą prowadzić do długich przerw w pracy bez pełnoetatowego CISO, co demotywuje zespoły i wpływa na strategię bezpieczeństwa.
  • Zarządy powinny wynagradzać swoich CISO zgodnie z podwyższonym ryzykiem, jakie wiąże się obecnie z ich rolą.
  • Niezbędna jest regularna współpraca zarządu z CISO, a jeśli to możliwe, bezpośrednie raportowanie do dyrektora generalnego. Pomoże to poprawić komunikację między nimi i podniesie pozycję CISO zgodnie z jego obowiązkami.
  • Zarządy powinny zapewnić swoim CISO ubezpieczenie dyrektorów i urzędników (D&O). aby pomóc odizolować ich od poważnego ryzyka.
  • CISO powinni trzymać się branży, którą kochają i przyjąć na siebie większą odpowiedzialność, zamiast od niej uciekać. Muszą jednak także pamiętać, że ich rolą jest doradzanie radzie i zapewnianie kontekstu. Pozwól innym podejmować ważne decyzje.
  • CISO powinni zawsze traktować priorytetowo przejrzystość i otwartość, szczególnie w przypadku organów regulacyjnych.
  • CISO powinni zwracać uwagę na to, co krążą wewnętrznie, i dopilnować, aby kontrowersyjne decyzje lub wnioski kierownictwa były zawsze rejestrowane na piśmie.

Szukając nowego stanowiska, CISO powinni zatrudnić osobistego prawnika, który szczegółowo przejrzy ich potencjalną umowę.

Aby zoptymalizować strategię cyberbezpieczeństwa, zarządy powinny zacząć od ponownej oceny swojej roli CISO. Następnym krokiem jest zapewnienie specjaliście ds. cyberbezpieczeństwa na tym stanowisku wystarczającego wsparcia i wystarczającej nagrody, aby chciał tam pozostać.

Znak czasu:

Więcej z Żyjemy w bezpieczeństwie