Segurança Empresarial
Cargas de trabalho pesadas e o espectro da responsabilidade pessoal por incidentes afetam tanto os líderes de segurança que muitos deles procuram as saídas. O que isso significa para as defesas cibernéticas corporativas?
Fevereiro 08 2024 . , 5 minutos. ler
A cibersegurança está finalmente tornando-se uma questão de nível de conselho. É assim que deveria ser, dado o papel cada vez mais importante que a gestão do risco cibernético desempenha na tomada de decisões estratégicas. O risco cibernético é fundamentalmente um risco comercial central com potencial para criar ou quebrar uma organização. Esse é certamente o pensamento por trás novas regras regulatórias nos E.U.A.
Mas, ao reconhecerem a sua importância, os conselhos de administração e os reguladores também estão a exercer mais pressão sobre os CISO, sem necessariamente lhes dar o reconhecimento e a recompensa adequados. O resultado: aumento do estresse, esgotamento e insatisfação. Três quartos (75%) dos CISOs dizem ser aberto a mudanças, um aumento de oito pontos percentuais em relação ao ano anterior. E 64% estão satisfeitos com a sua função, uma queda de 10%.
Estes desafios têm sérias implicações para a segurança cibernética nas organizações. Abordá-los deve ser uma prioridade urgente.
Um papel cada vez mais estressante
Os CISOs sempre tiveram um trabalho estressante. Entre os drivers recentemente estão:
- Surgindo níveis de ameaça cibernética, o que deixa muitas organizações em modo contínuo de combate a incêndios
- Indústria escassez de habilidades que deixam as principais equipes com falta de pessoal
- Carga de trabalho excessiva devido às crescentes demandas da diretoria
- Falta de recursos e financiamento adequados
- Carga de trabalho que força os CISOs a trabalhar muitas horas e cancelar feriados
- A transformação digital, que continua a expandir o mercado corporativo superfície de ataque cibernético
- Requisitos de conformidade que continuam a crescer a cada ano que passa
Não é nenhuma surpresa que um quarto (24%) dos líderes globais de TI e segurança admitiu à automedicação para aliviar o estresse. Os crescentes níveis de stress não só aumentam a probabilidade de esgotamento e/ou reforma antecipada – como também podem levar a uma má tomada de decisões (conforme observado por este estudo, por exemplo), bem como impactar as habilidades cognitivas e a capacidade de pensar racionalmente. Na verdade, foi sugerido que mesmo a antecipação de um dia estressante pode afetar a cognição. Cerca de dois terços (65%) dos CISOs Admitem que o estresse relacionado ao trabalho comprometeu sua capacidade de desempenho no trabalho.
O escrutínio exerce ainda mais pressão do CISO
Além dessa linha de base de estresse, houve um escrutínio regulatório, jurídico e do conselho extra nos últimos meses. Três eventos recentes são instrutivos:
- Maio 2023: Ex-CSO da Uber, Joe Sullivan foi condenado a três anos de liberdade condicional depois de ser considerado culpado de dois crimes relacionados ao seu papel em uma tentativa de encobrimento de uma mega-violação de 2016. Apoiadores afirmam que ele foi usado como bode expiatório pelo então CEO Travis Kalanick e pelo advogado interno do Uber, Craig Clark, com Sullivan explicando que Kalanick havia assinado seu controverso pagamento de US$ 100,000 mil aos hackers.
- Outubro 2023: Num primeiro momento, o SEC cobrou CISO da SolarWinds Timothy Brown por subestimar ou não divulgar o risco cibernético enquanto exagerava nas práticas de segurança da empresa. A reclamação refere-se a vários comentários internos feitos por Brown e alega que ele não conseguiu resolver ou elevar essas sérias preocupações dentro da empresa.
- Dezembro 2023: Novas regras de relatórios da SEC entre em vigor, exigindo que as empresas listadas publicamente relatem incidentes cibernéticos “materiais” no prazo de quatro dias úteis a partir da determinação da materialidade. As empresas também terão de descrever anualmente os seus processos de avaliação, identificação e gestão de riscos e o impacto de quaisquer incidentes. E terão de detalhar a supervisão do conselho sobre o risco cibernético e a sua experiência na avaliação e gestão desse risco.
Não é apenas nos EUA que a supervisão regulamentar está a aumentar. A nova diretiva NIS2, que deverá ser transposta para a legislação dos Estados-Membros da UE até outubro de 2024, atribui ao conselho de administração a responsabilidade direta de aprovar medidas de gestão de risco cibernético e supervisionar a sua implementação. Os membros do alto escalão também podem ser responsabilizados pessoalmente se forem considerados negligentes em casos de incidentes graves.
De acordo com o Analista do Enterprise Strategy Group (EST), Jon Oltsik, a pressão crescente que tais medidas estão a exercer sobre os CISOs está a tornar mais desafiante a sua função principal de resposta a ameaças e gestão de riscos cibernéticos. Um estudo ESG recente revela que tarefas como trabalhar com o conselho, supervisionar a conformidade regulamentar e gerir um orçamento estão a transformar a função do CISO de uma função técnica para uma função orientada para os negócios. Ao mesmo tempo, a crescente dependência da TI para impulsionar a transformação digital e o sucesso dos negócios tornou-se esmagadora. A pesquisa afirma que 65% dos CISOs consideraram deixar suas funções devido ao estresse.
Conclusões para CISOs e conselhos
O resultado final é que se os CISOs estiverem lutando para lidar com a carga de trabalho e com medo de represálias regulatórias e até mesmo de responsabilidade criminal por suas ações, é provável que tomem decisões piores no dia a dia. Muitos podem até deixar a indústria. Isto teria um impacto extremamente maligno num sector já lutando com a escassez de habilidades.
Mas não precisa ser assim. Há coisas que tanto os conselhos como os seus CISOs podem fazer para aliviar a situação. É do interesse de ambos encontrar uma maneira de superar isso. Considere o seguinte:
- Os conselhos devem avaliar a saúde mental, a carga de trabalho, os recursos e as estruturas de reporte dos CISOs para otimizar a sua eficácia. Altas taxas de desgaste podem levar a longos intervalos sem um CISO em tempo integral, o que desmotiva as equipes e impacta a estratégia de segurança.
- Os conselhos de administração devem remunerar os seus CISOs de acordo com o elevado risco que o seu papel agora acarreta.
- O envolvimento regular do conselho-CISO é essencial, com linhas de reporte direto ao CEO, se possível. Isto ajudará a melhorar a comunicação entre os dois e a elevar a posição do CISO de acordo com as suas responsabilidades.
- Os conselhos devem fornecer aos seus CISOs seguros de diretores e executivos (D&O) para ajudar a isolá-los de riscos graves.
- Os CISOs devem permanecer na indústria que amam e assumir maiores responsabilidades em vez de fugir dela. Mas também devem lembrar-se de que o seu papel é aconselhar e fornecer contexto ao conselho. Deixe que outros tomem as decisões importantes.
- Os CISOs devem sempre priorizar a transparência e a abertura, especialmente com os reguladores.
- Os CISOs devem estar atentos ao que circulam internamente e garantir que decisões ou solicitações contenciosas do alto escalão sejam sempre registradas por escrito.
Ao encontrar uma nova função, os CISOs devem contratar um advogado pessoal para analisar detalhadamente o seu possível contrato.
Para otimizar a estratégia de segurança cibernética, os conselhos devem começar por reavaliar o que pretendem que seja o papel do CISO. O próximo passo é garantir que o profissional de segurança cibernética nessa função tenha apoio e recompensa suficientes para querer permanecer lá.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.welivesecurity.com/en/business-security/buck-stops-stakes-high-cisos/
- :tem
- :é
- :não
- :onde
- $UP
- 000
- 2016
- 2023
- 2024
- 35%
- 91
- a
- habilidade
- Sobre
- ações
- endereçando
- adequado
- aconselhar
- Depois de
- atrás
- à frente
- aliviar
- já
- tb
- sempre
- entre
- an
- analista
- e
- Anualmente
- antecipação
- qualquer
- aprovar
- SOMOS
- AS
- avaliar
- Avaliando
- At
- tentada
- atrito
- longe
- Linha de Base
- BE
- tornam-se
- sido
- atrás
- ser
- MELHOR
- entre
- Grande
- borda
- ambos
- Inferior
- marrom
- orçamento
- Prédio
- esgotamento
- negócio
- mas a
- by
- C-suite
- chamadas
- CAN
- casos
- Categoria
- Chefe executivo
- certamente
- desafios
- desafiante
- alterar
- carregada
- CISO
- reivindicar
- reivindicações
- conhecimento
- cognitivo
- como
- comentários
- Comunicação
- Empresa
- reclamação
- compliance
- Comprometido
- Preocupações
- Considerar
- considerado
- contexto
- continuar
- continua
- contínuo
- contract
- controverso
- núcleo
- Responsabilidade
- poderia
- cobrir
- Craig
- Criminal
- cibernético
- Cíber segurança
- dia
- dia a dia
- dias
- decisão
- Tomada de Decisão
- decisões
- dependência
- descreve
- detalhe
- determinação
- digital
- Transformação Digital
- diretamente
- Divulgar
- do
- parece
- Não faz
- não
- down
- Drivers
- dois
- cada
- Cedo
- eficácia
- oito
- ELEVATE
- elevado
- abraços
- COMPROMETIMENTO
- suficiente
- garantir
- ESG
- especialmente
- essencial
- EU
- Mesmo
- eventos
- exemplo
- saídas
- Expandir
- experiência
- extra
- fracassado
- falta
- medo
- Fev
- Finalmente
- Encontre
- descoberta
- empresas
- Primeiro nome
- seguinte
- Escolha
- força
- Forças
- Antigo
- encontrado
- quatro
- da
- fundamentalmente
- mais distante
- lacunas
- dado
- Dando
- Global
- Go
- maior
- Grupo
- Cresça:
- Crescente
- culpado
- hackers
- tinha
- Ter
- he
- Saúde
- Herói
- ajudar
- SUA PARTICIPAÇÃO FAZ A DIFERENÇA
- Alta
- contratar
- sua
- HORÁRIO
- HTML
- HTTPS
- Extremamente
- identificar
- if
- Impacto
- Impacto
- implementação
- implicações
- importância
- importante
- melhorar
- in
- Crescimento
- aumentando
- cada vez mais
- de fato
- indústria
- interesses
- interno
- internamente
- para dentro
- IT
- ESTÁ
- Trabalho
- jon
- jpg
- apenas por
- Justiça
- Chave
- Falta
- Escritórios de
- advogado
- conduzir
- líderes
- Deixar
- partida
- Legal
- deixar
- níveis
- responsabilidade
- probabilidade
- Provável
- Line
- linhas
- Listado
- longo
- olhar
- gosta,
- moldadas
- fazer
- Fazendo
- de grupos
- gestão
- muitos
- max-width
- Posso..
- significar
- medidas
- membro
- Membros
- mental
- A saúde mental
- minutos
- mês
- mais
- movimentos
- muito
- devo
- necessariamente
- você merece...
- Novo
- Próximo
- não
- notado
- agora
- Outubro
- of
- WOW!
- oficiais
- on
- ONE
- aberto
- Abertura
- Otimize
- or
- organizações
- Outros
- Acima de
- vigiar
- supervisionando
- Supervisão
- esmagador
- Passagem
- pagamento
- percentagem
- Realizar
- pessoal
- Pessoalmente
- PHIL
- colocação
- platão
- Inteligência de Dados Platão
- PlatãoData
- desempenha
- pontos
- pobre
- posição
- possível
- potencial
- poder
- práticas
- pressão
- Priorizar
- prioridade
- processos
- profissional
- em perspectiva
- fornecer
- publicamente
- listado publicamente
- Coloca
- Trimestre
- Preços
- em vez
- recentemente
- recentemente
- reconhecimento
- reconhecendo
- gravado
- refere-se
- Reguladores
- reguladores
- Conformidade Regulamentar
- supervisão regulatória
- relacionado
- lembrar
- Denunciar
- Relatórios
- pedidos
- Requisitos
- resolver
- Recursos
- responder
- responsabilidades
- responsabilidade
- resultar
- aposentadoria
- revela
- Recompensa
- Risco
- gestão de risco
- Tipo
- Execute
- s
- Dito
- mesmo
- satisfeito
- satisfeito com
- escrutínio
- SEC
- setor
- segurança
- grave
- conjunto
- vários
- rede de apoio social
- assinado
- situação
- Habilidades
- So
- SolarWinds
- alguns
- espectro
- estacas
- começo
- Unidos
- ficar
- Passo
- Pára
- Estratégico
- Estratégia
- estresse
- estruturas
- Lutando
- Estudo
- sucesso
- tal
- suficiente
- adequado
- Sullivan
- ajuda
- apoiantes
- surgindo
- surpresa
- Vistorias
- Tire
- tarefas
- equipes
- Dados Técnicos:
- do que
- que
- A
- deles
- Eles
- Lá.
- Este
- deles
- coisas
- think
- Pensando
- isto
- ameaças
- três
- Através da
- tempo
- Título
- para
- topo
- Transformação
- Transparência
- Passando
- dois
- dois terços
- Uber
- urgente
- us
- queremos
- foi
- Caminho..
- BEM
- O Quê
- qual
- enquanto
- porque
- largura
- precisarão
- de
- dentro
- sem
- Atividades:
- trabalhar
- pior
- seria
- escrita
- ano
- zefirnet