Безпека бізнесу
Велике робоче навантаження та привид особистої відповідальності за інциденти завдають шкоди керівникам служби безпеки настільки, що багато з них шукають виходів. Що це означає для корпоративного кіберзахисту?
08 лютого 2024 • , 5 хв. читати
Кібербезпека нарешті стає питанням на рівні правління. Так і повинно бути, враховуючи дедалі важливішу роль, яку відіграє управління кіберризиками у прийнятті стратегічних рішень. Кіберризик — це, по суті, основний бізнес-ризик, який може призвести до або зламати організацію. Це, безумовно, думка нові правила регулювання в США.
Але, визнаючи його важливість, ради та регулятори також посилюють тиск на CISO, не обов’язково надаючи їм належне визнання та винагороду. Результат: наростання стресу, виснаження та незадоволення. Три чверті (75%) CISO як кажуть відкритий для змін, що на вісім процентних пунктів більше, ніж рік тому. І 64% задоволені своєю роллю, що на 10% менше.
Ці виклики мають серйозні наслідки для кібербезпеки в організаціях. Їх вирішення має бути першочерговим завданням.
Усе більш стресова роль
У CISO завжди була напружена робота. Серед водіїв останнім часом є:
- Швидке зростання рівні кіберзагрози, які залишають багато організацій у безперервному режимі пожежогасіння
- Промисловість нестача навичок які залишають ключові команди неукомплектованими
- Надмірне робоче навантаження через збільшення вимог до залу засідань
- Відсутність відповідних ресурсів і фінансування
- Навантаження, яке змушує CISO працювати довго та скасовувати відпустки
- Цифрова трансформація, яка продовжує розширювати корпорацію поверхню кібератак
- Вимоги до комплаєнсу зростають з кожним роком
Не дивно, що чверть (24%) світових лідерів ІТ та безпеки визнали займатися самолікуванням, щоб зняти стрес. Зростаючий рівень стресу не просто підвищує ймовірність вигорання та/або раннього виходу на пенсію – він може призвести до неправильного прийняття рішень (як зазначив це дослідження, наприклад), а також впливають на когнітивні навички та здатність раціонально мислити. Дійсно, було припущено, що навіть очікування напруженого дня попереду може вплинути на пізнання. Близько двох третин (65%) CISO визнати що стрес, пов’язаний з роботою, вплинув на їхню здатність працювати.
Перевірка створює додатковий тиск з боку CISO
На додачу до цього основного рівня стресу протягом останніх місяців прийшла додаткова регулятивна, юридична перевірка та перевірка правління. Три останні події повчальні:
- May 2023: Колишній CSO Uber, Джо Салліван був засуджений до трьох років умовного терміну після того, як його визнали винним у двох злочинах, пов’язаних із його роллю в спробі приховати мегазлом у 2016 році. Прихильники стверджують, що його цапом відбули тодішній генеральний директор Тревіс Каланік і внутрішній юрист Uber Крейг Кларк, Салліван пояснює що Каланік підписав свій спірний платіж у розмірі 100,000 XNUMX доларів хакерам.
- Жовтень 2023: По-перше, Комісія з цінних паперів і цінних паперів стягнула з SolarWinds CISO Тімоті Брауна за применшення або нерозкриття кіберризику, водночас перебільшуючи методи безпеки фірми. У скарзі йдеться про кілька внутрішніх коментарів Брауна та стверджується, що він не зміг вирішити або підвищити ці серйозні проблеми в компанії.
- Грудня 2023: Нові правила звітності SEC набули чинності, вимагаючи від публічно зареєстрованих компаній повідомляти про «суттєві» кіберінциденти протягом чотирьох робочих днів після визначення суттєвості. Компанії також повинні будуть щорічно описувати свої процеси для оцінки, ідентифікації та управління ризиками та впливом будь-яких інцидентів. І їм потрібно буде детально розповісти про нагляд правління за кіберризиками та його експертизу в оцінці та управлінні такими ризиками.
Регуляторний нагляд розвивається не лише в США. Нова директива NIS2, яку планується транспонувати в законодавство країн-членів ЄС до жовтня 2024 року, покладає пряму відповідальність на правління за затвердження заходів з управління кіберризиками та нагляд за їх впровадженням. Члени вищого керівництва також можуть бути притягнуті до особистої відповідальності, якщо визнають недбалість у випадках серйозних інцидентів.
За оцінками Аналітик Enterprise Strategy Group (EST) Джон Олцік, зростаючий тиск, який такі кроки чинять на CISO, ускладнює їх основну роботу – реагувати на загрози та керувати кіберризиками. Нещодавнє дослідження ESG показує, що такі завдання, як робота з радою, нагляд за дотриманням нормативних вимог і управління бюджетом, перетворюють роль CISO з технічної на бізнес-орієнтовану. У той же час зростаюча залежність від ІТ для забезпечення цифрової трансформації та успіху бізнесу стала надзвичайною. Опитування стверджує, що 65% CISO думали залишити свою посаду через стрес.
Винос для CISO та правлінь
Суть полягає в тому, що якщо CISO насилу справляються з робочим навантаженням і бояться репресій з боку регуляторів і навіть кримінальної відповідальності за свої дії, вони, ймовірно, щодня прийматимуть гірші рішення. Багато хто може навіть залишити галузь. Це вже мало б дуже шкідливий вплив на сектор бореться з нестачею навичок.
Але це не повинно бути таким чином. Є речі, які і правління, і їхні CISO можуть зробити, щоб полегшити ситуацію. У їхніх інтересах обох знайти вихід із цього. Зверніть увагу на наступне:
- Правління повинні оцінювати психічне здоров’я CISO, робоче навантаження, ресурси та структури звітності, щоб оптимізувати їх ефективність. Високий рівень вивільнення може призвести до тривалих перерв без постійного CISO, що демотивує команди та впливає на стратегію безпеки.
- Правління має винагороджувати своїх CISO відповідно до підвищеного ризику, який тепер передбачає їхня роль.
- Необхідно регулярно взаємодіяти з радою директорів і CISO, якщо це можливо, з прямим підпорядкуванням генеральному директору. Це допоможе покращити зв’язок між ними та підвищить позицію CISO відповідно до їхніх обов’язків.
- Правління повинні надати своїм CISO страхування директорів і посадових осіб (D&O). щоб допомогти захистити їх від серйозного ризику.
- CISO повинні залишатися в галузі, яку вони люблять, і брати на себе більшу відповідальність, а не тікати від неї. Але вони також повинні пам’ятати, що їхня роль полягає в тому, щоб консультувати та надавати контекст дошці. Дозвольте іншим робити важливі дзвінки.
- CISO завжди повинні надавати пріоритет прозорості та відкритості, особливо з регуляторними органами.
- CISO повинні бути уважними до того, що вони поширюють всередині компанії, і гарантувати, що спірні рішення або запити від керівників завжди фіксуються в письмовій формі.
Знаходячи нову посаду, CISO слід найняти особистого юриста, щоб детально ознайомитися з їхнім потенційним контрактом.
Щоб оптимізувати стратегію кібербезпеки, ради директорів повинні почати з переоцінки ролі CISO. Наступний крок — переконатися, що фахівець з кібербезпеки на цій посаді має достатню підтримку та достатню винагороду, щоб захотіти залишитися там.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.welivesecurity.com/en/business-security/buck-stops-stakes-high-cisos/
- : має
- :є
- : ні
- :де
- $UP
- 000
- 2016
- 2023
- 2024
- 35%
- 91
- a
- здатність
- МЕНЮ
- дії
- адресація
- адекватний
- радити
- після
- назад
- попереду
- полегшувати
- вже
- Також
- завжди
- серед
- an
- аналітик
- та
- Щорічно
- очікування
- будь-який
- схвалювати
- ЕСТЬ
- AS
- оцінити
- Оцінювання
- At
- спробував
- виснаження
- геть
- Базова лінія
- BE
- ставати
- було
- за
- буття
- КРАЩЕ
- між
- Великий
- рада
- обидва
- дно
- коричневий
- бюджет
- Створюємо
- прогар
- бізнес
- але
- by
- C-люкс
- Виклики
- CAN
- випадків
- Категорія
- Генеральний директор
- звичайно
- проблеми
- складні
- зміна
- стягується
- CISO
- стверджувати
- претензій
- пізнання
- пізнавальний
- Приходити
- коментарі
- Комунікація
- компанія
- скарга
- дотримання
- Компрометація
- Турбота
- Вважати
- вважається
- контекст
- продовжувати
- триває
- безперервний
- контракт
- спірний
- Core
- Корпоративний
- може
- приховати
- Крейг
- Кримінальну
- кібер-
- Кібербезпека
- день
- з дня на день
- Днів
- рішення
- Прийняття рішень
- рішення
- залежність
- описувати
- деталь
- визначення
- цифровий
- цифрове перетворення
- прямий
- Розкрити
- do
- робить
- Ні
- Не знаю
- вниз
- драйвери
- два
- кожен
- Рано
- ефективність
- вісім
- ПОВЕРНЕНО
- піднесений
- обійняти
- зачеплення
- досить
- забезпечувати
- ІС Г
- особливо
- істотний
- EU
- Навіть
- Події
- приклад
- виходи
- Розширювати
- експертиза
- додатково
- не вдалося
- відсутності
- страх
- Feb
- в кінці кінців
- знайти
- виявлення
- фірми
- Перший
- після
- для
- Примусово
- Війська
- Колишній
- знайдений
- чотири
- від
- принципово
- далі
- прогалини
- даний
- дає
- Глобальний
- Go
- великий
- Group
- Рости
- Зростання
- винний
- хакери
- було
- Мати
- he
- здоров'я
- Герой
- допомога
- тут
- Високий
- прокат
- його
- ГОДИННИК
- HTML
- HTTPS
- Величезно
- ідентифікує
- if
- Impact
- Вплив
- реалізація
- наслідки
- значення
- важливо
- удосконалювати
- in
- Augmenter
- зростаючий
- все більше і більше
- дійсно
- промисловість
- інтереси
- внутрішній
- внутрішньо
- в
- IT
- ЙОГО
- робота
- джон
- JPG
- просто
- юстиція
- ключ
- відсутність
- закон
- юрист
- вести
- Лідери
- Залишати
- догляд
- легальний
- дозволяти
- рівні
- відповідальність
- ймовірність
- Ймовірно
- Лінія
- ліній
- Перераховані
- Довго
- подивитися
- любов
- made
- зробити
- Робить
- управління
- управління
- багато
- макс-ширина
- Може..
- значити
- заходи
- член
- члени
- психічний
- Психічне здоров'я
- хвилин
- місяців
- більше
- рухається
- багато
- повинен
- обов'язково
- Необхідність
- Нові
- наступний
- немає
- зазначив,
- зараз
- жовтень
- of
- від
- офіцерів
- on
- ONE
- відкрити
- Відкритість
- Оптимізувати
- or
- організації
- інші
- над
- наглядати
- спостереження
- Нагляд
- пригнічує
- Проходження
- оплата
- відсоток
- Виконувати
- персонал
- Особисто
- ФІЛ
- розміщення
- plato
- Інформація про дані Платона
- PlatoData
- відіграє
- точок
- бідні
- положення
- це можливо
- потенціал
- влада
- практики
- тиск
- Пріоритетність
- пріоритет
- процеси
- професійний
- передбачуваний
- забезпечувати
- публічно
- в публічному списку
- Ставить
- Квартал
- ставки
- швидше
- останній
- нещодавно
- визнання
- визнаючи
- записаний
- відноситься
- Регулятори
- регуляторні
- Відповідність нормативам
- регуляторний нагляд
- пов'язаний
- запам'ятати
- звітом
- Звітність
- запитів
- Вимога
- рішення
- ресурси
- відповідаючи
- обов'язки
- відповідальність
- результат
- вихід на пенсію
- Виявляє
- Винагороджувати
- Risk
- управління ризиками
- Роль
- прогін
- s
- Зазначений
- то ж
- Незадоволений
- задоволений
- огляд
- SEC
- сектор
- безпеку
- серйозний
- комплект
- кілька
- Повинен
- підписаний
- ситуація
- навички
- So
- SolarWinds
- деякі
- привид
- ставки
- старт
- Штати
- залишатися
- Крок
- Зупиняє
- Стратегічний
- Стратегія
- стрес
- структур
- Бореться
- Вивчення
- успіх
- такі
- достатній
- підходящий
- Салліван
- підтримка
- Прихильники
- сплеск
- сюрприз
- Огляд
- Приймати
- завдання
- команди
- технічний
- ніж
- Що
- Команда
- їх
- Їх
- Там.
- Ці
- вони
- речі
- думати
- Мислення
- це
- загрози
- три
- через
- час
- назва
- до
- топ
- Перетворення
- прозорість
- Поворот
- два
- дві третини
- Убер
- терміново
- us
- хотіти
- було
- шлях..
- ДОБРЕ
- Що
- який
- в той час як
- чому
- ширина
- волі
- з
- в
- без
- Work
- робочий
- гірше
- б
- лист
- рік
- зефірнет