Безопасность бизнеса
Тяжелые рабочие нагрузки и угроза личной ответственности за инциденты настолько сильно сказываются на руководителях службы безопасности, что многие из них ищут выходы. Что это означает для корпоративной киберзащиты?
Февраль 08 2024 • , 5 минута. читать
Кибербезопасность, наконец, становится проблемой на уровне правления. Так и должно быть, учитывая растущую роль управления киберрисками в принятии стратегических решений. Киберриск – это, по сути, основной бизнес-риск, который может привести к разрушить организацию. Это, конечно, мысль, лежащая в основе новые правила регулирования в США.
Но, признавая его важность, советы директоров и регулирующие органы также оказывают большее давление на директоров по информационной безопасности, не обязательно предоставляя им должное признание и вознаграждение. Результат: нарастающий стресс, выгорание и неудовлетворенность. Три четверти (75%) директоров по информационной безопасности говорят, что открыт для перемен, что на восемь процентных пунктов выше, чем год назад. А 64% удовлетворены своей ролью, что на 10% меньше.
Эти проблемы имеют серьезные последствия для кибербезопасности внутри организаций. Их решение должно стать неотложным приоритетом.
Все более стрессовая роль
У директоров по информационной безопасности всегда была напряженная работа. Среди водителей в последнее время:
- Растущие уровни киберугроз, что оставляет многие организации в режиме постоянного пожаротушения
- Промышленный дизайн нехватка навыков из-за чего ключевые команды остаются недоукомплектованными
- Чрезмерная рабочая нагрузка из-за растущих требований к залу заседаний совета директоров
- Отсутствие достаточных ресурсов и финансирования
- Рабочая нагрузка, вынуждающая директоров по информационной безопасности работать сверхурочно и отменять праздники
- Цифровая трансформация, которая продолжает расширять корпоративную поверхность кибератаки
- Требования соответствия, которые растут с каждым годом
Неудивительно, что четверть (24%) мировых лидеров в области ИТ и безопасности признались заниматься самолечением для снятия стресса. Растущий уровень стресса не просто увеличивает вероятность выгорания и/или досрочного выхода на пенсию – он может привести к неправильному принятию решений (как отмечает это исследование, например), а также влияют на когнитивные навыки и способность рационально мыслить. Действительно, было высказано предположение, что даже ожидание предстоящего напряженного дня может повлиять на когнитивные способности. Около двух третей (65%) директоров по информационной безопасности признавать стресс, связанный с работой, поставил под угрозу их способность работать.
Проверка оказывает дальнейшее давление на CISO
Вдобавок к этому базовому стрессу в последние месяцы возникла дополнительная проверка со стороны регулирующих, юридических органов и со стороны совета директоров. Поучительны три недавних события:
- Май 2023: Бывший директор по безопасности Uber, Джо Салливан был приговорен к трем годам условно после того, как его признали виновным в двух уголовных преступлениях, связанных с его ролью в попытке сокрытия крупного нарушения в 2016 году. Сторонники утверждают, что тогдашний генеральный директор Трэвис Каланик и штатный юрист Uber Крейг Кларк сделали его козлом отпущения. Салливан объясняет что Каланик подписал спорный платеж хакерам в размере 100,000 XNUMX долларов.
- Октябрь 2023: Во-первых, Комиссия по ценным бумагам и биржам (SEC) предъявила обвинения директору по информационной безопасности SolarWinds Тимоти Брауну за преуменьшение или нераскрытие информации о киберрисках и преувеличение методов обеспечения безопасности компании. В жалобе говорится о нескольких внутренних комментариях Брауна и утверждается, что ему не удалось разрешить или поднять эти серьезные опасения внутри компании.
- Декабрь 2023: Новые правила отчетности SEC вступили в силу, требуя от компаний, акции которых котируются на бирже, сообщать о «существенных» киберинцидентах в течение четырех рабочих дней с момента определения их существенности. Фирмы также должны будут ежегодно описывать свои процессы оценки, выявления и управления рисками, а также последствиями любых инцидентов. И им необходимо будет подробно описать надзор совета директоров за киберрисками и его опыт в оценке и управлении такими рисками.
Регулирующий надзор развивается не только в США. Новая директива NIS2, которая должна быть перенесена в законодательство государств-членов ЕС к октябрю 2024 года, возлагает на совет директоров прямую ответственность за утверждение мер по управлению киберрисками и надзор за их реализацией. Члены высшего руководства также могут быть привлечены к личной ответственности, если они будут признаны халатными в случае серьезных инцидентов.
По Аналитик Enterprise Strategy Group (EST) Джон ОлцикРастущее давление, которое такие шаги оказывают на директоров по информационной безопасности, усложняет их основную работу по реагированию на угрозы и управлению киберрисками. Недавнее исследование ESG показывает, что такие задачи, как работа с советом директоров, контроль за соблюдением нормативных требований и управление бюджетом, превращают роль директора по информационной безопасности из технической в бизнес-ориентированную. В то же время растущая зависимость от ИТ в обеспечении цифровой трансформации и успеха в бизнесе стала подавляющей. Исследование утверждает, что 65% директоров по информационной безопасности рассматривали возможность ухода со своей должности из-за стресса.
Выводы для директоров по информационной безопасности и советов директоров
Суть в том, что если директора по информационной безопасности изо всех сил пытаются справиться с рабочей нагрузкой и опасаются репрессий со стороны регулирующих органов и даже уголовной ответственности за свои действия, они, вероятно, будут принимать худшие повседневные решения. Многие могут даже уйти из отрасли. Это окажет крайне пагубное воздействие на сектор, который уже борьба с нехваткой навыков.
Но так не должно быть. Есть вещи, которые и советы директоров, и их директора по информационной безопасности могут сделать, чтобы облегчить ситуацию. В их интересах найти выход из этой ситуации. Учтите следующее:
- Советы директоров должны оценивать психическое здоровье, рабочую нагрузку, ресурсы и структуру отчетности директоров по информационной безопасности, чтобы оптимизировать их эффективность. Высокие темпы оттока могут привести к длительным перерывам в работе без штатного директора по информационной безопасности, что демотивирует команды и влияет на стратегию безопасности.
- Советы директоров должны вознаграждать своих директоров по информационной безопасности в соответствии с повышенным риском, который в настоящее время влечет за собой их роль.
- Регулярное взаимодействие между Советом директоров и директором по информационной безопасности имеет важное значение, при этом, по возможности, должно быть обеспечено прямое подчинение генеральному директору. Это поможет улучшить взаимодействие между ними и повысить положение директора по информационной безопасности в соответствии с его обязанностями.
- Советы директоров должны предоставить своим директорам по информационной безопасности страхование директоров и должностных лиц (D&O) чтобы помочь оградить их от серьезного риска.
- Директора по информационной безопасности должны придерживаться отрасли, которую они любят, и брать на себя большую ответственность, а не бежать от нее. Но они также должны помнить, что их роль заключается в том, чтобы давать советы и обеспечивать контекст для правления. Позвольте другим делать большие звонки.
- Директора по информационной безопасности всегда должны уделять приоритетное внимание прозрачности и открытости, особенно в отношениях с регулирующими органами.
- Директора по информационной безопасности должны внимательно следить за тем, что они циркулируют внутри компании, и следить за тем, чтобы спорные решения или запросы высшего руководства всегда фиксировались в письменной форме.
При поиске новой должности директора по информационной безопасности должны нанять личного юриста, который детально проработает свой будущий контракт.
Чтобы оптимизировать стратегию кибербезопасности, советам директоров следует начать с переоценки того, какой они хотят видеть роль директора по информационной безопасности. Следующий шаг — обеспечить, чтобы специалист по кибербезопасности, выполняющий эту роль, имел достаточную поддержку и достаточное вознаграждение, чтобы он захотел остаться на этой должности.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.welivesecurity.com/en/business-security/buck-stops-stakes-high-cisos/
- :имеет
- :является
- :нет
- :куда
- $UP
- 000
- 2016
- 2023
- 2024
- 35%
- 91
- a
- способность
- О нас
- действия
- адресация
- адекватный
- консультировать
- После
- тому назад
- впереди
- облегчать
- уже
- причислены
- всегда
- среди
- an
- аналитик
- и
- Ежегодно
- ожидание
- любой
- утвердить
- МЫ
- AS
- оценить
- Оценка
- At
- попытка
- истирание
- прочь
- Базовая линия
- BE
- становиться
- было
- за
- не являетесь
- ЛУЧШЕЕ
- между
- большой
- доска
- изоферменты печени
- Дно
- коричневый
- бюджет
- Строительство
- прогар
- бизнес
- но
- by
- С-люкс
- Объявления
- CAN
- случаев
- Категории
- Генеральный директор
- конечно
- проблемы
- сложные
- изменение
- заряженный
- CISO
- утверждать
- требования
- познание
- познавательный
- как
- Комментарии
- Связь
- Компания
- жалоба
- Соответствие закону
- Ослабленный
- Обеспокоенность
- Рассматривать
- считается
- контекст
- продолжать
- продолжается
- (CIJ)
- контракт
- спорный
- Основные
- Корпоративное
- может
- покрывать
- Крейг
- Криминальное
- кибер-
- Информационная безопасность
- день
- дня в день
- Дней
- решение
- Принятие решений
- решения
- зависимость
- описывать
- подробность
- определение
- Интернет
- цифровое преобразование
- направлять
- Раскрывать
- do
- приносит
- не
- Dont
- вниз
- драйверы
- два
- каждый
- Рано
- эффективность
- 8
- ELEVATE
- возвышенный
- обниматься
- обязательство
- достаточно
- обеспечивать
- ESG
- особенно
- существенный
- EU
- Даже
- События
- пример
- выходы
- Расширьте
- опыта
- дополнительно
- Oшибка
- отсутствии
- страх
- фев
- в заключение
- Найдите
- обнаружение
- Компаний
- Во-первых,
- после
- Что касается
- Форс-мажор
- Войска
- Бывший
- найденный
- 4
- от
- принципиально
- далее
- пробелы
- данный
- Отдаете
- Глобальный
- Go
- большой
- группы
- Расти
- Рост
- виновный
- Хакеры
- было
- Есть
- he
- Медицина
- Герой
- помощь
- здесь
- High
- Наем
- его
- ЧАСЫ
- HTML
- HTTPS
- Очень
- идентифицирующий
- if
- Влияние
- Воздействие
- реализация
- последствия
- значение
- важную
- улучшать
- in
- Увеличение
- повышение
- все больше и больше
- действительно
- промышленность
- интересы
- в нашей внутренней среде,
- внутренне
- в
- IT
- ЕГО
- работа
- джон
- JPG
- всего
- Юстиция
- Основные
- Отсутствие
- закон
- адвокат
- вести
- Лидеры
- Оставлять
- уход
- Юр. Информация
- позволять
- уровни
- ответственность
- вероятность
- Вероятно
- линия
- линий
- Включенный в список
- Длинное
- посмотреть
- любят
- сделанный
- сделать
- Создание
- управление
- управления
- многих
- макс-ширина
- Май..
- значить
- меры
- член
- Участники
- психический
- Психическое здоровье
- мин
- месяцев
- БОЛЕЕ
- движется
- много
- должен
- обязательно
- Необходимость
- Новые
- следующий
- нет
- отметил,
- сейчас
- октябрь
- of
- от
- офицеров
- on
- ONE
- открытый
- Открытость
- Оптимизировать
- or
- организации
- Другое
- за
- надзирать
- контроль
- надзор
- подавляющий
- Прохождение
- оплата
- процент
- Выполнять
- личного
- Лично
- ФИЛ
- размещение
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- играет
- пунктов
- состояния потока
- должность
- возможное
- потенциал
- мощностью
- практиками
- давление
- Расставляйте приоритеты
- приоритет
- Процессы
- профессиональный
- предполагаемый
- обеспечивать
- публично
- публично перечисленные
- Оферты
- Четверть
- Стоимость
- скорее
- последний
- недавно
- признание
- признавая
- записанный
- понимается
- Регулирующие органы
- регуляторы
- Соответствие нормативным требованиям
- регулирующий надзор
- Связанный
- помнить
- отчету
- Reporting
- Запросы
- Требования
- решение
- Полезные ресурсы
- ответ
- ответственности
- ответственность
- результат
- уход на пенсию
- Показывает
- Предложение
- Снижение
- управление рисками
- Роли
- Run
- s
- Сказал
- то же
- довольный
- доволен
- рассмотрение
- SEC / КОМИССИЯ ПО ЦЕННЫМ БУМАГАМ И БИРЖАМ
- сектор
- безопасность
- серьезный
- набор
- несколько
- должен
- подписанный
- ситуация
- навыки
- So
- SolarWinds
- некоторые
- привидение
- Ставки
- Начало
- Области
- оставаться
- Шаг
- Останавливает
- Стратегический
- Стратегия
- стресс
- структур
- Борющийся
- Кабинет
- успех
- такие
- достаточный
- подходящее
- Салливан
- поддержка
- Сторонники
- помпаж
- сюрприз
- Опрос
- взять
- задачи
- команды
- Технический
- чем
- который
- Ассоциация
- их
- Их
- Там.
- Эти
- они
- вещи
- think
- мышление
- этой
- угрозы
- три
- Через
- время
- Название
- в
- топ
- трансформация
- Прозрачность
- Поворот
- два
- две трети
- Uber
- срочный
- us
- хотеть
- законопроект
- Путь..
- ЧТО Ж
- Что
- , которые
- в то время как
- зачем
- ширина
- будете
- в
- без
- Работа
- работает
- хуже
- бы
- письмо
- год
- зефирнет