На этом все и заканчивается: ставки для директоров по информационной безопасности высоки

На этом все и заканчивается: ставки для директоров по информационной безопасности высоки

Отметка времени: 8 февраля 2024 г., 5:30 AM

Безопасность бизнеса

Тяжелые рабочие нагрузки и угроза личной ответственности за инциденты настолько сильно сказываются на руководителях службы безопасности, что многие из них ищут выходы. Что это означает для корпоративной киберзащиты?

Фил Манкастер

Фил Манкастер

Февраль 08 2024  •  , 5 минута. читать

На этом все и заканчивается: почему ставки для директоров по информационной безопасности высоки

Кибербезопасность, наконец, становится проблемой на уровне правления. Так и должно быть, учитывая растущую роль управления киберрисками в принятии стратегических решений. Киберриск – это, по сути, основной бизнес-риск, который может привести к разрушить организацию. Это, конечно, мысль, лежащая в основе новые правила регулирования в США. 

Но, признавая его важность, советы директоров и регулирующие органы также оказывают большее давление на директоров по информационной безопасности, не обязательно предоставляя им должное признание и вознаграждение. Результат: нарастающий стресс, выгорание и неудовлетворенность. Три четверти (75%) директоров по информационной безопасности говорят, что открыт для перемен, что на восемь процентных пунктов выше, чем год назад. А 64% удовлетворены своей ролью, что на 10% меньше.

Эти проблемы имеют серьезные последствия для кибербезопасности внутри организаций. Их решение должно стать неотложным приоритетом.

Все более стрессовая роль

У директоров по информационной безопасности всегда была напряженная работа. Среди водителей в последнее время:

  • Растущие уровни киберугроз, что оставляет многие организации в режиме постоянного пожаротушения
  • Промышленный дизайн нехватка навыков из-за чего ключевые команды остаются недоукомплектованными
  • Чрезмерная рабочая нагрузка из-за растущих требований к залу заседаний совета директоров
  • Отсутствие достаточных ресурсов и финансирования
  • Рабочая нагрузка, вынуждающая директоров по информационной безопасности работать сверхурочно и отменять праздники
  • Цифровая трансформация, которая продолжает расширять корпоративную поверхность кибератаки
  • Требования соответствия, которые растут с каждым годом

Неудивительно, что четверть (24%) мировых лидеров в области ИТ и безопасности признались заниматься самолечением для снятия стресса. Растущий уровень стресса не просто увеличивает вероятность выгорания и/или досрочного выхода на пенсию – он может привести к неправильному принятию решений (как отмечает это исследование, например), а также влияют на когнитивные навыки и способность рационально мыслить. Действительно, было высказано предположение, что даже ожидание предстоящего напряженного дня может повлиять на когнитивные способности. Около двух третей (65%) директоров по информационной безопасности признавать стресс, связанный с работой, поставил под угрозу их способность работать.

Проверка оказывает дальнейшее давление на CISO

Вдобавок к этому базовому стрессу в последние месяцы возникла дополнительная проверка со стороны регулирующих, юридических органов и со стороны совета директоров. Поучительны три недавних события:

  • Май 2023: Бывший директор по безопасности Uber, Джо Салливан был приговорен к трем годам условно после того, как его признали виновным в двух уголовных преступлениях, связанных с его ролью в попытке сокрытия крупного нарушения в 2016 году. Сторонники утверждают, что тогдашний генеральный директор Трэвис Каланик и штатный юрист Uber Крейг Кларк сделали его козлом отпущения. Салливан объясняет что Каланик подписал спорный платеж хакерам в размере 100,000 XNUMX долларов.
  • Октябрь 2023: Во-первых, Комиссия по ценным бумагам и биржам (SEC) предъявила обвинения директору по информационной безопасности SolarWinds Тимоти Брауну за преуменьшение или нераскрытие информации о киберрисках и преувеличение методов обеспечения безопасности компании. В жалобе говорится о нескольких внутренних комментариях Брауна и утверждается, что ему не удалось разрешить или поднять эти серьезные опасения внутри компании.
  • Декабрь 2023: Новые правила отчетности SEC вступили в силу, требуя от компаний, акции которых котируются на бирже, сообщать о «существенных» киберинцидентах в течение четырех рабочих дней с момента определения их существенности. Фирмы также должны будут ежегодно описывать свои процессы оценки, выявления и управления рисками, а также последствиями любых инцидентов. И им необходимо будет подробно описать надзор совета директоров за киберрисками и его опыт в оценке и управлении такими рисками.

Регулирующий надзор развивается не только в США. Новая директива NIS2, которая должна быть перенесена в законодательство государств-членов ЕС к октябрю 2024 года, возлагает на совет директоров прямую ответственность за утверждение мер по управлению киберрисками и надзор за их реализацией. Члены высшего руководства также могут быть привлечены к личной ответственности, если они будут признаны халатными в случае серьезных инцидентов.

По Аналитик Enterprise Strategy Group (EST) Джон ОлцикРастущее давление, которое такие шаги оказывают на директоров по информационной безопасности, усложняет их основную работу по реагированию на угрозы и управлению киберрисками. Недавнее исследование ESG показывает, что такие задачи, как работа с советом директоров, контроль за соблюдением нормативных требований и управление бюджетом, превращают роль директора по информационной безопасности из технической в ​​бизнес-ориентированную. В то же время растущая зависимость от ИТ в обеспечении цифровой трансформации и успеха в бизнесе стала подавляющей. Исследование утверждает, что 65% директоров по информационной безопасности рассматривали возможность ухода со своей должности из-за стресса.

cisos-выгорание-стресс-ответственность

Выводы для директоров по информационной безопасности и советов директоров

Суть в том, что если директора по информационной безопасности изо всех сил пытаются справиться с рабочей нагрузкой и опасаются репрессий со стороны регулирующих органов и даже уголовной ответственности за свои действия, они, вероятно, будут принимать худшие повседневные решения. Многие могут даже уйти из отрасли. Это окажет крайне пагубное воздействие на сектор, который уже борьба с нехваткой навыков.

Но так не должно быть. Есть вещи, которые и советы директоров, и их директора по информационной безопасности могут сделать, чтобы облегчить ситуацию. В их интересах найти выход из этой ситуации. Учтите следующее:

  • Советы директоров должны оценивать психическое здоровье, рабочую нагрузку, ресурсы и структуру отчетности директоров по информационной безопасности, чтобы оптимизировать их эффективность. Высокие темпы оттока могут привести к длительным перерывам в работе без штатного директора по информационной безопасности, что демотивирует команды и влияет на стратегию безопасности.
  • Советы директоров должны вознаграждать своих директоров по информационной безопасности в соответствии с повышенным риском, который в настоящее время влечет за собой их роль.
  • Регулярное взаимодействие между Советом директоров и директором по информационной безопасности имеет важное значение, при этом, по возможности, должно быть обеспечено прямое подчинение генеральному директору. Это поможет улучшить взаимодействие между ними и повысить положение директора по информационной безопасности в соответствии с его обязанностями.
  • Советы директоров должны предоставить своим директорам по информационной безопасности страхование директоров и должностных лиц (D&O) чтобы помочь оградить их от серьезного риска.
  • Директора по информационной безопасности должны придерживаться отрасли, которую они любят, и брать на себя большую ответственность, а не бежать от нее. Но они также должны помнить, что их роль заключается в том, чтобы давать советы и обеспечивать контекст для правления. Позвольте другим делать большие звонки.
  • Директора по информационной безопасности всегда должны уделять приоритетное внимание прозрачности и открытости, особенно в отношениях с регулирующими органами.
  • Директора по информационной безопасности должны внимательно следить за тем, что они циркулируют внутри компании, и следить за тем, чтобы спорные решения или запросы высшего руководства всегда фиксировались в письменной форме.

При поиске новой должности директора по информационной безопасности должны нанять личного юриста, который детально проработает свой будущий контракт.

Чтобы оптимизировать стратегию кибербезопасности, советам директоров следует начать с переоценки того, какой они хотят видеть роль директора по информационной безопасности. Следующий шаг — обеспечить, чтобы специалист по кибербезопасности, выполняющий эту роль, имел достаточную поддержку и достаточное вознаграждение, чтобы он захотел остаться на этой должности.

Отметка времени:

Больше от Мы живем в безопасности