เจ้าชู้หยุดอยู่แค่นี้: เงินเดิมพันสูงสำหรับ CISO

ความปลอดภัยของธุรกิจ

ภาระงานหนักและความหวาดกลัวต่อความรับผิดส่วนบุคคลต่อเหตุการณ์ต่างๆ ส่งผลกระทบต่อผู้นำด้านความปลอดภัย มากจนหลายคนมองหาทางออก สิ่งนี้หมายความว่าอย่างไรสำหรับการป้องกันทางไซเบอร์ขององค์กร?

ฟิล มันคาสเตอร์

08 2024 กุมภาพันธ์  •  , 5 นาที. อ่าน

ในที่สุดระบบรักษาความปลอดภัยทางไซเบอร์ก็มาถึง กลายเป็นประเด็นระดับคณะกรรมการ. เป็นไปตามที่ควรจะเป็น เมื่อพิจารณาถึงบทบาทที่สำคัญมากขึ้นเรื่อยๆ ในการบริหารความเสี่ยงทางไซเบอร์ในการตัดสินใจเชิงกลยุทธ์ ความเสี่ยงทางไซเบอร์ถือเป็นความเสี่ยงทางธุรกิจหลักที่มีศักยภาพในการสร้างหรือ ทำลายองค์กร. นั่นคือความคิดเบื้องหลังอย่างแน่นอน กฎข้อบังคับใหม่ ในสหรัฐอเมริกา. 

แต่ด้วยการตระหนักถึงความสำคัญของคณะกรรมการและหน่วยงานกำกับดูแลก็กดดัน CISO มากขึ้นโดยไม่จำเป็นต้องให้การยอมรับและให้รางวัลที่เหมาะสมแก่พวกเขา ผลลัพธ์: ความเครียด ความเหนื่อยหน่าย และความไม่พอใจที่เพิ่มสูงขึ้น สามในสี่ (75%) ของ CISO กล่าวกันว่า เปิดรับการเปลี่ยนแปลง เพิ่มขึ้นแปดเปอร์เซ็นต์จากปีที่แล้ว และ 64% พอใจกับบทบาทของตน ลดลง 10%

ความท้าทายเหล่านี้มีผลกระทบร้ายแรงต่อความปลอดภัยทางไซเบอร์ภายในองค์กร การจัดการกับสิ่งเหล่านั้นควรเป็นเรื่องเร่งด่วน

บทบาทที่ตึงเครียดมากขึ้น

CISO มีงานที่เครียดอยู่เสมอ ในบรรดาไดรเวอร์ล่าสุด ได้แก่ :

• การพล่าน ระดับภัยคุกคามทางไซเบอร์ซึ่งทำให้หลายองค์กรอยู่ในโหมดการดับเพลิงอย่างต่อเนื่อง
• Industry การขาดแคลนทักษะ ที่ทำให้ทีมสำคัญมีไม่เพียงพอ
• ภาระงานที่มากเกินไปเนื่องจากความต้องการห้องประชุมที่เพิ่มขึ้น
• ขาดทรัพยากรและเงินทุนที่เพียงพอ
• ภาระงานที่บังคับให้ CISO ต้องทำงานเป็นเวลานานและยกเลิกวันหยุด
• Digital Transformation ที่ยังคงขยายองค์กรอย่างต่อเนื่อง พื้นผิวการโจมตีทางไซเบอร์
• ข้อกำหนดด้านการปฏิบัติตามข้อกำหนดที่เติบโตอย่างต่อเนื่องทุกปีที่ผ่านไป

ไม่น่าแปลกใจเลยที่หนึ่งในสี่ (24%) ของผู้นำด้านไอทีและความปลอดภัยทั่วโลก ได้ยอมรับแล้ว การใช้ยาด้วยตนเองเพื่อบรรเทาความเครียด ระดับความเครียดที่เพิ่มขึ้นไม่เพียงแต่เพิ่มโอกาสที่จะเกิดความเหนื่อยหน่ายและ/หรือการเกษียณก่อนกำหนดเท่านั้น แต่ยังอาจนำไปสู่การตัดสินใจที่ไม่ดี (ตามที่ระบุไว้โดย การศึกษาครั้งนี้เป็นต้น) รวมถึงส่งผลต่อทักษะการรับรู้และความสามารถในการคิดอย่างมีเหตุผล อันที่จริง มีการเสนอแนะว่าแม้แต่การคาดหวังถึงวันอันตึงเครียดข้างหน้าก็สามารถส่งผลกระทบต่อการรับรู้ได้ ประมาณสองในสาม (65%) ของ CISO ยอมรับ ความเครียดที่เกี่ยวข้องกับงานได้บั่นทอนความสามารถในการปฏิบัติงาน

การตรวจสอบข้อเท็จจริงทำให้เกิดแรงกดดันต่อ CISO มากขึ้น

นอกเหนือจากความเครียดพื้นฐานนี้ยังมาพร้อมกับการตรวจสอบกฎระเบียบ กฎหมาย และคณะกรรมการเพิ่มเติมในช่วงหลายเดือนที่ผ่านมา เหตุการณ์ล่าสุดสามเหตุการณ์เป็นคำแนะนำ:

• 2023 พฤษภาคม: อดีต CSO ของ Uber โจ ซัลลิแวนถูกตัดสินจำคุก ได้รับการคุมประพฤติเป็นเวลา 2016 ปีหลังจากถูกตัดสินว่ามีความผิดในความผิดทางอาญา XNUMX กระทงที่เกี่ยวข้องกับบทบาทของเขาในการพยายามปกปิดการละเมิดครั้งใหญ่ในปี XNUMX ผู้สนับสนุนอ้างว่าเขาถูกแพะรับบาปโดยเทรวิส คาลานิค ซีอีโอในขณะนั้นและเครก คลาร์ก ทนายความของบริษัท Uber พร้อมด้วย ซัลลิแวนอธิบาย ว่า Kalanick ได้ลงนามในการจ่ายเงินจำนวน 100,000 ดอลลาร์ให้กับแฮกเกอร์ซึ่งเป็นข้อขัดแย้ง
• ตุลาคม 2023: ในครั้งแรกที่ ก.ล.ต. เรียกเก็บเงิน SolarWinds CISO Timothy Brown สำหรับการมองข้ามหรือไม่เปิดเผยความเสี่ยงทางไซเบอร์ในขณะที่กล่าวเกินจริงถึงหลักปฏิบัติด้านความปลอดภัยของบริษัท การร้องเรียนอ้างถึงความคิดเห็นภายในหลายประการของ Brown และอ้างว่าเขาล้มเหลวในการแก้ไขหรือยกระดับข้อกังวลร้ายแรงเหล่านี้ภายในบริษัท
• 2023 ธันวาคม: กฎการรายงาน ก.ล.ต. ใหม่ มีผลใช้บังคับโดยกำหนดให้บริษัทจดทะเบียนต้องรายงานเหตุการณ์ไซเบอร์ที่มี “สาระสำคัญ” ภายในสี่วันทำการนับจากการพิจารณาว่ามีสาระสำคัญ นอกจากนี้ บริษัทยังต้องอธิบายกระบวนการของตนในการประเมิน ระบุ และจัดการความเสี่ยงและผลกระทบของเหตุการณ์ต่างๆ เป็นประจำทุกปี และพวกเขาจะต้องให้รายละเอียดคณะกรรมการกำกับดูแลความเสี่ยงทางไซเบอร์และความเชี่ยวชาญในการประเมินและจัดการความเสี่ยงดังกล่าว

ไม่ใช่แค่ในสหรัฐอเมริกาเท่านั้นที่การกำกับดูแลด้านกฎระเบียบกำลังเกิดขึ้น คำสั่ง NIS2 ใหม่ที่จะย้ายไปยังกฎหมายของประเทศสมาชิกสหภาพยุโรปภายในเดือนตุลาคม 2024 ให้ความรับผิดชอบโดยตรงแก่คณะกรรมการในการอนุมัติมาตรการการจัดการความเสี่ยงทางไซเบอร์และดูแลการดำเนินการดังกล่าว สมาชิกของ C-suite ยังสามารถรับผิดชอบต่อตนเองได้หากพบว่าประมาทเลินเล่อในกรณีของเหตุการณ์ร้ายแรง

ตามที่ Jon Oltsik นักวิเคราะห์ Enterprise Strategy Group (EST)ความกดดันที่เพิ่มขึ้นต่อความเคลื่อนไหวดังกล่าวที่มีต่อ CISO ทำให้งานหลักในการตอบสนองต่อภัยคุกคามและการจัดการความเสี่ยงทางไซเบอร์มีความท้าทายมากขึ้น การศึกษา ESG ล่าสุดเผยให้เห็นว่างานต่างๆ เช่น การทำงานร่วมกับคณะกรรมการ การดูแลการปฏิบัติตามกฎระเบียบ และการจัดการงบประมาณ กำลังเปลี่ยนบทบาทของ CISO จากบทบาทด้านเทคนิคไปสู่การมุ่งเน้นธุรกิจ ในเวลาเดียวกัน การพึ่งพาไอทีเพื่อขับเคลื่อนการเปลี่ยนแปลงทางดิจิทัลและความสำเร็จทางธุรกิจเพิ่มมากขึ้นเรื่อยๆ การสำรวจอ้างว่า 65% ของ CISO พิจารณาที่จะลาออกจากตำแหน่งเนื่องจากความเครียด

ประเด็นสำคัญสำหรับ CISO และบอร์ด

สิ่งที่สำคัญที่สุดก็คือ หาก CISO กำลังดิ้นรนเพื่อรับมือกับภาระงาน และด้วยความกลัวการตอบโต้ตามกฎระเบียบและแม้กระทั่งความรับผิดทางอาญาสำหรับการกระทำของพวกเขา พวกเขามีแนวโน้มที่จะทำการตัดสินใจในแต่ละวันที่แย่ลง หลายคนอาจลาออกจากวงการด้วยซ้ำ นี่จะมีผลกระทบร้ายแรงต่อภาคส่วนนี้แล้ว ต่อสู้กับการขาดแคลนทักษะ.

แต่มันไม่จำเป็นต้องเป็นเช่นนี้ มีหลายสิ่งที่ทั้งบอร์ดและ CISO สามารถทำได้เพื่อบรรเทาสถานการณ์ การหาทางผ่านเรื่องนี้ไปเพื่อประโยชน์สูงสุดของพวกเขาทั้งคู่ พิจารณาสิ่งต่อไปนี้:

• คณะกรรมการควรประเมินสุขภาพจิต ปริมาณงาน ทรัพยากร และโครงสร้างการรายงานของ CISO เพื่อเพิ่มประสิทธิภาพสูงสุด อัตราการออกจากงานที่สูงอาจนำไปสู่ช่องว่างที่ยาวนานหากไม่มี CISO แบบเต็มเวลา ซึ่งจะทำให้ทีมลดน้อยลงและส่งผลกระทบต่อกลยุทธ์ด้านความปลอดภัย
• คณะกรรมการควรจ่ายค่าตอบแทนให้กับ CISO ตามความเสี่ยงที่เพิ่มขึ้นจากบทบาทของตนในปัจจุบัน
• การมีส่วนร่วมระหว่างคณะกรรมการและ CISO เป็นประจำถือเป็นสิ่งสำคัญ โดยมีสายการรายงานโดยตรงต่อ CEO หากเป็นไปได้ ซึ่งจะช่วยปรับปรุงการสื่อสารระหว่างทั้งสองและยกระดับตำแหน่งของ CISO ให้สอดคล้องกับความรับผิดชอบของพวกเขา
• บอร์ดควรจัดเตรียม CISO ของตนด้วย การประกันภัยกรรมการและเจ้าหน้าที่ (D&O) เพื่อช่วยป้องกันพวกเขาจากความเสี่ยงร้ายแรง
• CISO ควรยึดติดกับอุตสาหกรรมที่พวกเขารัก และยอมรับความรับผิดชอบที่มากขึ้น แทนที่จะหนีจากอุตสาหกรรมนั้น แต่พวกเขาต้องจำไว้ด้วยว่าบทบาทของพวกเขาคือการให้คำแนะนำและให้บริบทแก่คณะกรรมการ ปล่อยให้คนอื่นทำการโทรครั้งใหญ่
• CISO ควรให้ความสำคัญกับความโปร่งใสและการเปิดกว้างเสมอ โดยเฉพาะอย่างยิ่งกับหน่วยงานกำกับดูแล
• CISO ควรคำนึงถึงสิ่งที่พวกเขาเผยแพร่ภายในและตรวจสอบให้แน่ใจว่าการตัดสินใจหรือการร้องขอที่โต้แย้งจาก C-suite จะถูกบันทึกไว้เป็นลายลักษณ์อักษรเสมอ

เมื่อค้นหาบทบาทใหม่ CISO ควรจ้างทนายความส่วนตัวเพื่อดำเนินการตามสัญญาที่คาดหวังโดยละเอียด

เพื่อเพิ่มประสิทธิภาพกลยุทธ์ความปลอดภัยทางไซเบอร์ คณะกรรมการควรเริ่มต้นด้วยการประเมินสิ่งที่พวกเขาต้องการให้มีบทบาท CISO ขั้นตอนต่อไปคือการทำให้แน่ใจว่าผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ในบทบาทนั้นได้รับการสนับสนุนเพียงพอและได้รับรางวัลเพียงพอที่จะต้องการอยู่ที่นั่น