Pengarna stannar här: Insatserna är höga för CISOs

Pengarna stannar här: Insatserna är höga för CISOs

Tidsstämpel: 8 februari 2024 5:30

Affärssäkerhet

Tung arbetsbelastning och spöket av personligt ansvar för incidenter tar hårt på säkerhetsledare, så mycket att många av dem letar efter utgångarna. Vad betyder detta för företagens cyberförsvar?

Phil Muncaster

Phil Muncaster

Februari 08 2024  •  , 5 min. läsa

Pengarna stannar här: Varför insatserna är höga för CISOs

Cybersäkerhet är äntligen blir en fråga på styrelsenivå. Det är som det ska vara, med tanke på den allt viktigare roll cyberriskhantering spelar i strategiskt beslutsfattande. Cyberrisk är i grunden en kärnverksamhetsrisk med potential att göra eller bryta en organisation. Det är så klart tanken bakom nya regleringsregler i USA. 

Men genom att inse dess betydelse lägger styrelser och tillsynsmyndigheter också mer press på CISO:er, utan att nödvändigtvis ge dem lämpligt erkännande och belöning. Resultatet: stigande stress, utbrändhet och missnöje. Tre fjärdedelar (75 %) av CISO:erna sägs vara öppna för en förändring, en ökning med åtta procentenheter jämfört med för ett år sedan. Och 64 % är nöjda med sin roll, en minskning med 10 %.

Dessa utmaningar har allvarliga konsekvenser för cybersäkerhet inom organisationer. Att ta itu med dem bör vara en brådskande prioritet.

En allt mer stressig roll

CISO har alltid haft ett stressigt jobb. Bland förarna nyligen finns:

  • Böljande cyberthotnivåer, vilket lämnar många organisationer i kontinuerligt brandbekämpningsläge
  • Industri kompetensbrist som lämnar nyckelteam underbemannade
  • Överdriven arbetsbelastning på grund av ökande krav på styrelserum
  • Brist på tillräckliga resurser och finansiering
  • Arbetsbelastning som tvingar CISO:er att arbeta långa dagar och ställa in semester
  • Digital transformation, som fortsätter att expandera företaget cyberangreppsyta
  • Efterlevnadskrav som fortsätter att växa för varje år som går

Det är ingen överraskning att en fjärdedel (24%) av globala IT- och säkerhetsledare har erkänt till självmedicinering för att lindra stress. De ökande stressnivåerna ökar inte bara sannolikheten för utbrändhet och/eller förtidspension – de kan leda till dåligt beslutsfattande (som noterat av den här studien, till exempel), samt påverka kognitiva färdigheter och förmågan att tänka rationellt. Faktum är att det har föreslagits att även förväntan om den stressiga dagen som ligger framför oss kan påverka kognitionen. Cirka två tredjedelar (65 %) av CISO:erna erkänna att jobbrelaterad stress har äventyrat deras förmåga att prestera på jobbet.

Granskning utövar ytterligare CISO-tryck

Utöver denna baslinje av stress har det kommit extra kontroll, juridisk och styrelsegranskning under de senaste månaderna. Tre senaste händelser är lärorika:

  • Maj 2023: Tidigare Uber CSO, Joe Sullivan dömdes till tre års skyddstillsyn efter att ha befunnits skyldig till två brott relaterade till hans roll i ett försök till mörkläggning av ett megabrott 2016. Supportrar hävdar att han blev syndabock av dåvarande vd Travis Kalanick och den interna Uber-advokaten Craig Clark, med Sullivan förklarar att Kalanick hade skrivit på sin kontroversiella betalning på 100,000 XNUMX dollar till hackarna.
  • Oktober 2023: I en första, den SEC laddade SolarWinds CISO Timothy Brown för att tona ned eller underlåta att avslöja cyberrisk samtidigt som han överdrev företagets säkerhetspraxis. Klagomålet hänvisar till flera interna kommentarer från Brown och hävdar att han misslyckades med att lösa eller lyfta dessa allvarliga problem inom företaget.
  • December 2023: Nya SEC-rapporteringsregler träder i kraft, vilket kräver att börsnoterade företag rapporterar "väsentliga" cyberincidenter inom fyra arbetsdagar från fastställandet av väsentlighet. Företag kommer också att behöva beskriva årligen sina processer för att bedöma, identifiera och hantera risker och effekterna av eventuella incidenter. Och de kommer att behöva detaljera styrelsens tillsyn av cyberrisk och dess expertis i att bedöma och hantera sådana risker.

Det är inte bara i USA där regulatorisk tillsyn byggs upp. Det nya NIS2-direktivet som ska införlivas i EU:s medlemsländers lag senast i oktober 2024 lägger ett direkt ansvar på styrelsen att godkänna cyberriskhanteringsåtgärder och övervaka deras genomförande. Medlemmar i C-sviten kan också hållas personligen ansvariga om de befinns vårdslösa i fall av allvarliga incidenter.

Enligt Enterprise Strategy Group (EST) analytiker Jon Oltsik, det ökande trycket som sådana rörelser lägger på CISO:er gör deras kärnuppgift att reagera på hot och hantera cyberrisker mer utmanande. En nyligen genomförd ESG-studie avslöjar att uppgifter som att arbeta med styrelsen, övervaka regelefterlevnad och att hantera en budget gör att CISO-rollen vänder från en som är teknisk till affärsorienterad. Samtidigt har det växande beroendet av IT för att driva digital transformation och affärsframgång blivit överväldigande. Undersökningen hävdar att 65 % av CISO:er har övervägt att lämna sin roll på grund av stress.

cisos-utbrändhet-stress-ansvar

Takeaways för CISO:er och styrelser

Summan av kardemumman är att om CISO:er kämpar för att klara av arbetsbelastningen, och i rädsla för lagstadgade repressalier och till och med straffrättsligt ansvar för sina handlingar, kommer de sannolikt att fatta värre dagliga beslut. Många kanske till och med lämnar branschen. Detta skulle redan ha en enormt skadlig inverkan på en sektor kämpar med kompetensbrist.

Men det behöver inte vara så här. Det finns saker som både styrelser och deras CISO kan göra för att lindra situationen. Det ligger i deras bådas intresse att hitta en väg igenom detta. Tänk på följande:

  • Styrelser bör bedöma CISO:s mentala hälsa, arbetsbelastning, resurser och rapporteringsstrukturer för att optimera deras effektivitet. Höga avgångsgrader kan leda till långa luckor utan en heltidsanställd CISO, vilket demotiverar team och påverkar säkerhetsstrategin.
  • Styrelser bör ersätta sina CISO:er i linje med den förhöjda risken som deras roll nu innebär.
  • Regelbundet engagemang i styrelsen och CISO är viktigt, med direkt rapportering till VD om möjligt. Detta kommer att bidra till att förbättra kommunikationen mellan de två och höja CISO:s position i linje med deras ansvar.
  • Styrelser bör förse sina CISO:er med styrelse- och tjänstemän (D&O) försäkring för att hjälpa till att isolera dem från allvarliga risker.
  • CISO:er bör hålla fast vid branschen de älskar och ta större ansvar snarare än att fly från det. Men de måste också komma ihåg att deras roll är att ge råd och ge sammanhang åt styrelsen. Låt andra göra de stora samtalen.
  • CISO:er bör alltid prioritera transparens och öppenhet, särskilt med tillsynsmyndigheter.
  • CISO:er bör vara uppmärksamma på vad de cirkulerar internt och se till att omstridda beslut eller förfrågningar från C-suiten alltid registreras skriftligt.

När man hittar en ny roll bör CISO:er anlita en personlig advokat för att gå igenom deras blivande kontrakt i detalj.

För att optimera cybersäkerhetsstrategin bör styrelser börja med att omvärdera vad de vill att CISO-rollen ska vara. Nästa steg är att se till att cybersäkerhetsexperten i den rollen har tillräckligt med stöd och tillräcklig belöning för att vilja stanna där.

Tidsstämpel:

Mer från Vi lever säkerhet