Sorun burada bitiyor: CISO'lar için riskler yüksek

Sorun burada bitiyor: CISO'lar için riskler yüksek

Zaman Damgası: 8 Şubat 2024 5:30

İş Güvenliği

Ağır iş yükleri ve olaylarla ilgili kişisel sorumluluk korkusu, güvenlik liderlerine o kadar zarar veriyor ki, çoğu çıkış arıyor. Bu, kurumsal siber savunma açısından ne anlama geliyor?

Phil Muncaster

Phil Muncaster

Şubat 08 2024  •  , 5 dk. okuman

Sorun burada bitiyor: CISO'lar için riskler neden yüksek?

Siber güvenlik nihayet yönetim kurulu düzeyinde bir sorun haline geliyor. Siber risk yönetiminin stratejik karar almada oynadığı giderek daha önemli rol göz önüne alındığında, olması gereken de budur. Siber risk, temel olarak, şunları yapma veya yapma potansiyeline sahip temel bir iş riskidir: bir organizasyonu bozmak. Arkasındaki düşünce kesinlikle bu yeni düzenleyici kurallar ABD'de. 

Ancak bunun öneminin farkına varan kurullar ve düzenleyiciler, CISO'lar üzerinde daha fazla baskı oluşturuyor, ancak onlara gerekli takdiri ve ödülü vermiyor. Sonuç: artan stres, tükenmişlik ve tatminsizlik. CISO'ların dörtte üçü (%75) Olduğu söyleniyor bir yıl öncesine göre sekiz yüzde puanı artışla değişime açık. Ve %64 düşüşle %10'ü rollerinden memnun.

Bu zorlukların kuruluşlar içindeki siber güvenlik açısından ciddi etkileri vardır. Bunları ele almak acil bir öncelik olmalıdır.

Giderek daha stresli bir rol

CISO'ların her zaman stresli bir işi olmuştur. Son zamanlarda sürücüler arasında şunlar yer alıyor:

  • Kabaran siber tehdit seviyeleriBirçok kuruluşu sürekli yangınla mücadele modunda bırakan
  • Sanayi beceri eksiklikleri kilit ekiplerin yetersiz personel almasına neden oluyor
  • Artan toplantı odası talepleri nedeniyle aşırı iş yükü
  • Yeterli kaynak ve fon eksikliği
  • CISO'ları uzun saatler çalışmaya ve tatilleri iptal etmeye zorlayan iş yükü
  • Kurumsal genişlemeyi sürdüren dijital dönüşüm siber saldırı yüzeyi
  • Her geçen yıl büyümeye devam eden uyumluluk gereksinimleri

Küresel BT ve güvenlik liderlerinin dörtte birinin (%24) itiraf ettim Stresi azaltmak için kendi kendine ilaç tedavisi. Artan stres seviyeleri yalnızca tükenmişlik ve/veya erken emeklilik olasılığını artırmakla kalmıyor, aynı zamanda kötü karar alınmasına da yol açabiliyor (belirtildiği gibi) Bu çalışmadaörneğin) ve aynı zamanda bilişsel becerileri ve rasyonel düşünme yeteneğini de etkiler. Aslında, önümüzdeki stresli günün beklentisinin bile bilişi etkileyebileceği öne sürülüyor. CISO'ların yaklaşık üçte ikisi (%65) Kabul et işle ilgili stresin işteki performans yeteneklerini tehlikeye attığı.

İnceleme daha fazla CISO baskısı yaratıyor

Bu temel stresin üzerine, son aylarda ilave düzenleyici, yasal ve yönetim kurulu incelemeleri geldi. Son üç olay öğreticidir:

  • 2023 olabilir: Eski Uber CSO’su, Joe Sullivan'a ceza verildi 2016'daki büyük bir ihlali örtbas etme girişimindeki rolüyle ilgili iki ağır suçtan suçlu bulunmasının ardından üç yıl denetimli serbestlik cezasına çarptırıldı. Destekçiler onun dönemin CEO'su Travis Kalanick ve şirket içi Uber avukatı Craig Clark tarafından günah keçisi ilan edildiğini iddia ediyor. Sullivan açıklıyor Kalanick'in bilgisayar korsanlarına tartışmalı 100,000 dolarlık ödemesini imzaladığını söyledi.
  • Ekim 2023: İlk olarak, SEC, SolarWinds CISO'yu ücretlendirdi Timothy Brown, firmanın güvenlik uygulamalarını abartırken siber riski küçümsediği veya açıklamadığı için. Şikayet, Brown tarafından yapılan çeşitli dahili yorumlara atıfta bulunuyor ve kendisinin şirket içindeki bu ciddi endişeleri çözmede veya yükseltmede başarısız olduğunu iddia ediyor.
  • Aralık 2023: Yeni SEC raporlama kuralları Halka açık şirketlerin "önemli" siber olayları, önemliliğin belirlenmesinden itibaren dört iş günü içinde raporlamasını zorunlu kılan yasa yürürlüğe girecek. Firmaların ayrıca riskleri ve herhangi bir olayın etkisini değerlendirme, tanımlama ve yönetme süreçlerini yıllık olarak açıklamaları gerekecektir. Ayrıca yönetim kurulunun siber risk gözetimini ve bu tür riskleri değerlendirme ve yönetme konusundaki uzmanlığını ayrıntılı olarak açıklamaları gerekecek.

Düzenleyici gözetimin inşa edildiği yer yalnızca ABD'de değil. Ekim 2'e kadar AB üye devletleri yasalarına aktarılacak olan yeni NIS2024 direktifi, yönetim kuruluna siber risk yönetimi önlemlerini onaylama ve bunların uygulanmasını denetleme konusunda doğrudan sorumluluk veriyor. C-seviyesi üyeleri, ciddi olaylarda ihmalkâr bulunmaları halinde kişisel olarak sorumlu tutulabilirler.

Göre Kurumsal Strateji Grubu (EST) analisti Jon OltsikBu tür hareketlerin CISO'lar üzerinde yarattığı artan baskı, onların temel işi olan tehditlere yanıt verme ve siber riski yönetmeyi daha zorlu hale getiriyor. Yakın zamanda yapılan bir ESG araştırması, yönetim kuruluyla birlikte çalışmak, mevzuata uygunluğu denetlemek ve bütçeyi yönetmek gibi görevlerin CISO rolünü teknik bir rolden iş odaklı bir rol haline getirdiğini ortaya koyuyor. Aynı zamanda, dijital dönüşüme ve iş başarısına güç sağlamak için BT'ye artan bağımlılık da bunaltıcı bir hal aldı. Anket, CISO'ların %65'inin stres nedeniyle görevlerinden ayrılmayı düşündüğünü iddia ediyor.

cisos-tükenmişlik-stres-sorumluluk

CISO'lar ve kurullar için çıkarımlar

Sonuç olarak, CISO'lar iş yüküyle başa çıkmakta zorlanıyorsa ve düzenleyici misillemelerden ve hatta eylemleri nedeniyle cezai sorumluluktan korkuyorlarsa, muhtemelen daha kötü günlük kararlar alacaklardır. Birçoğu sektörden bile ayrılabilir. Bunun zaten bir sektör üzerinde oldukça kötü bir etkisi olacaktır. beceri eksiklikleriyle mücadele etmek.

Ama bu şekilde olmasına gerek yok. Durumu hafifletmek için hem kurulların hem de CISO'ların yapabileceği şeyler var. Bu durumdan kurtulmanın bir yolunu bulmak her ikisinin de çıkarınadır. Aşağıdakileri göz önünde bulundur:

  • Kurullar, etkinliğini optimize etmek için CISO'ların zihinsel sağlığını, iş yükünü, kaynaklarını ve raporlama yapılarını değerlendirmelidir. Yüksek yıpranma oranları, tam zamanlı bir CISO olmadan uzun boşluklara yol açabilir, bu da ekiplerin motivasyonunu düşürür ve güvenlik stratejisini etkiler.
  • Yönetim kurulları, CISO'larına, rollerinin şu anda gerektirdiği yüksek riske uygun olarak ücret vermelidir.
  • Mümkünse CEO'ya doğrudan raporlama hatlarıyla düzenli yönetim kurulu-CISO katılımı şarttır. Bu, ikisi arasındaki iletişimi geliştirmeye ve CISO'nun konumunu sorumlulukları doğrultusunda yükseltmeye yardımcı olacaktır.
  • Yönetim kurulları CISO'larına aşağıdaki bilgileri sağlamalıdır: direktörler ve memurlar (D&O) sigortası onları ciddi risklerden korumaya yardımcı olmak.
  • CISO'lar sevdikleri sektöre bağlı kalmalı ve ondan kaçmak yerine daha fazla sorumluluk üstlenmelidir. Ancak rollerinin kurula tavsiyelerde bulunmak ve bağlam sağlamak olduğunu da unutmamaları gerekir. Büyük çağrıları başkalarının yapmasına izin verin.
  • CISO'lar, özellikle düzenleyiciler karşısında her zaman şeffaflığa ve açıklığa öncelik vermelidir.
  • CISO'lar şirket içinde neleri dolaştıkları konusunda dikkatli olmalı ve üst düzey yöneticilerden gelen ihtilaflı kararların veya taleplerin her zaman yazılı olarak kaydedilmesini sağlamalıdır.

CISO'lar yeni bir rol bulurken olası sözleşmelerini ayrıntılı olarak yürütmek için kişisel bir avukat tutmalı.

Siber güvenlik stratejisini optimize etmek için yönetim kurullarının CISO rolünün ne olmasını istediklerini yeniden değerlendirerek başlamaları gerekiyor. Bir sonraki adım, bu roldeki siber güvenlik uzmanının orada kalmak istemesi için yeterli desteğe ve yeterli ödüle sahip olmasını sağlamaktır.

Zaman Damgası:

Den fazla Güvenliği Yaşıyoruz