Dolar se tukaj ustavi: vložki so visoki za CISO

Poslovna varnost

Velike delovne obremenitve in spekter osebne odgovornosti za incidente tako obremenjujejo vodje varnosti, da mnogi od njih iščejo izhode. Kaj to pomeni za korporativno kibernetsko obrambo?

Phil Muncaster

Februar 08 2024  •  , 5 min. prebrati

Kibernetska varnost je končno postaja vprašanje na ravni odbora. Tako bi moralo biti glede na vse pomembnejšo vlogo, ki jo ima obvladovanje kibernetskih tveganj pri strateškem odločanju. Kibernetsko tveganje je v bistvu temeljno poslovno tveganje, ki lahko povzroči oz razbiti organizacijo. To je gotovo razmišljanje v ozadju nova regulativna pravila v ZDA. 

Toda s priznavanjem njegovega pomena upravni odbori in regulatorji prav tako povečujejo pritisk na CISO, ne da bi jih nujno ustrezno priznali in nagradili. Rezultat: naraščajoči stres, izgorelost in nezadovoljstvo. Tri četrtine (75 %) CISO pravijo, da so odprt za spremembe, kar je osem odstotnih točk več kot leto prej. In 64 % jih je zadovoljnih s svojo vlogo, kar je 10 % manj.

Ti izzivi imajo resne posledice za kibernetsko varnost v organizacijah. Njihova obravnava bi morala biti nujna prednostna naloga.

Vse bolj stresna vloga

CISO so imeli vedno stresno delo. Med vozniki v zadnjem času so:

• Prenapetost ravni kibernetske grožnje, ki mnoge organizacije pustijo v neprekinjenem načinu gašenja
• Industrija pomanjkanje spretnosti zaradi česar ključne ekipe nimajo dovolj osebja
• Prekomerna delovna obremenitev zaradi naraščajočih zahtev v sejni sobi
• Pomanjkanje ustreznih virov in financiranja
• Delovna obremenitev, zaradi katere CISO delajo dolge ure in odpovedujejo počitnice
• Digitalna transformacija, ki še naprej širi podjetje površina kibernetskega napada
• Zahteve skladnosti, ki rastejo z vsakim letom

Ni presenetljivo, da četrtina (24 %) svetovnih vodilnih v IT in varnosti so priznali do samozdravljenja za lajšanje stresa. Naraščajoče ravni stresa ne povečujejo le verjetnosti izgorelosti in/ali zgodnje upokojitve – lahko vodijo do slabega odločanja (kot ugotavlja ta študija, na primer), pa tudi vpliva na kognitivne sposobnosti in sposobnost racionalnega razmišljanja. Pravzaprav se domneva, da lahko celo pričakovanje stresnega dne, ki je pred nami, vpliva na kognicijo. Približno dve tretjini (65 %) CISO priznati da je stres, povezan z delom, ogrozil njihovo sposobnost opravljanja dela.

Nadzor izvaja dodaten pritisk CISO

Poleg te osnovne ravni stresa je v zadnjih mesecih prišlo do dodatnega regulativnega, pravnega nadzora in nadzora odbora. Poučni so trije nedavni dogodki:

• Lahko 2023: nekdanji Uber CSO, Joe Sullivan je bil obsojen na tri leta pogojne kazni, potem ko je bil spoznan za krivega dveh kaznivih dejanj, povezanih z njegovo vlogo pri poskusu prikrivanja mega-kršitve leta 2016. Podporniki trdijo, da sta ga takratni izvršni direktor Travis Kalanick in interni Uberjev odvetnik Craig Clark zagrešila z Sullivan razlaga da je Kalanick podpisal svoje kontroverzno plačilo 100,000 $ hekerjem.
• Oktober 2023: V prvi, SEC je SolarWinds zaračunal CISO Timothyja Browna, ker je omalovaževal ali ni razkril kibernetskega tveganja, medtem ko je precenjeval varnostne prakse podjetja. Pritožba se nanaša na več notranjih komentarjev Browna in trdi, da mu ni uspelo razrešiti ali povečati teh resnih pomislekov v podjetju.
• December 2023: Nova pravila poročanja SEC začnejo veljati in zahtevajo, da podjetja, ki kotirajo na borzi, poročajo o "pomembnih" kibernetskih incidentih v štirih delovnih dneh od ugotovitve pomembnosti. Podjetja bodo morala tudi vsako leto opisati svoje postopke za ocenjevanje, prepoznavanje in obvladovanje tveganja ter vpliva morebitnih incidentov. Prav tako bodo morali podrobno opisati nadzorni odbor nad kibernetskimi tveganji in njegovo strokovno znanje pri ocenjevanju in upravljanju takšnega tveganja.

Regulativni nadzor se krepi ne le v ZDA. Nova direktiva NIS2, ki naj bi jo v zakonodajo držav članic EU prenesli do oktobra 2024, daje neposredno odgovornost upravnemu odboru za odobritev ukrepov za obvladovanje kibernetskega tveganja in nadzor nad njihovim izvajanjem. Člani vodstva so lahko tudi osebno odgovorni, če se v primerih resnih incidentov ugotovi, da so bili malomarni.

Glede na Analitik Enterprise Strategy Group (EST) Jon Oltsik, vse večji pritisk, ki ga takšne poteze povzročajo CISO, otežuje njihovo glavno nalogo odzivanja na grožnje in obvladovanje kibernetskega tveganja. Nedavna študija ESG razkriva, da naloge, kot je delo z upravnim odborom, nadzor skladnosti s predpisi in upravljanje proračuna, spremenijo vlogo CISO iz tehnične v poslovno usmerjeno. Hkrati je vse večja odvisnost od informacijske tehnologije za poganjanje digitalne preobrazbe in poslovnega uspeha postala velika. Raziskava trdi, da je 65 % CISO razmišljalo o tem, da bi zaradi stresa zapustili svojo vlogo.

Povzetki za CISO in odbore

Bistvo je, da če se CISO težko spopadajo z delovno obremenitvijo in so v strahu pred regulativnimi povračilnimi ukrepi in celo kazensko odgovornostjo za svoja dejanja, bodo verjetno sprejemali slabše vsakodnevne odločitve. Mnogi morda celo zapustijo industrijo. To bi že imelo zelo škodljiv vpliv na sektor se borijo s pomanjkanjem spretnosti.

Vendar ni nujno, da je tako. Obstajajo stvari, ki jih lahko oba odbora in njihovi CISO storijo, da ublažijo situacijo. V njunem interesu je, da najdeta pot skozi to. Upoštevajte naslednje:

• Upravni odbori bi morali oceniti duševno zdravje, delovno obremenitev, vire in strukture poročanja CISO, da bi optimizirali njihovo učinkovitost. Visoke stopnje izčrpanosti lahko povzročijo dolge vrzeli brez CISO s polnim delovnim časom, kar demotivira ekipe in vpliva na varnostno strategijo.
• Upravni odbori bi morali nagraditi svoje CISO v skladu s povečanim tveganjem, ki ga njihova vloga zdaj vključuje.
• Bistveno je redno sodelovanje uprave in CISO, z neposrednim poročanjem generalnemu direktorju, če je to mogoče. To bo pomagalo izboljšati komunikacijo med obema in dvigniti položaj CISO v skladu z njihovimi odgovornostmi.
• Upravni odbori bi morali svojim CISO zagotoviti zavarovanje direktorjev in uradnikov (D&O). da bi jih zaščitili pred resnim tveganjem.
• CISO bi se morali držati industrije, ki jo obožujejo, in prevzeti večjo odgovornost, namesto da bežijo od nje. Vendar se morajo tudi zavedati, da je njihova vloga svetovati in zagotoviti kontekst za odbor. Naj drugi opravijo velike klice.
• CISO morajo vedno dati prednost preglednosti in odprtosti, zlasti pri regulatorjih.
• CISO bi morali biti pozorni na to, kaj posredujejo interno, in zagotoviti, da so sporne odločitve ali zahteve vodstva vedno zabeležene v pisni obliki.

Ko najdejo novo vlogo, bi moral CISO najeti osebnega odvetnika, da podrobno pregleda njihovo bodočo pogodbo.

Da bi optimizirali strategijo kibernetske varnosti, bi morali upravni odbori začeti s ponovno oceno, kakšna je njihova vloga CISO. Naslednji korak je zagotoviti, da ima strokovnjak za kibernetsko varnost v tej vlogi dovolj podpore in zadostno nagrado, da želi tam ostati.