На цьому все закінчується: ставки для CISO високі

На цьому все закінчується: ставки для CISO високі

Мітка часу: 8 лютого 2024 5:30

Безпека бізнесу

Велике робоче навантаження та привид особистої відповідальності за інциденти завдають шкоди керівникам служби безпеки настільки, що багато з них шукають виходів. Що це означає для корпоративного кіберзахисту?

Філ Манкастер

Філ Манкастер

08 лютого 2024  •  , 5 хв. читати

На цьому все закінчується: чому для CISO високі ставки

Кібербезпека нарешті стає питанням на рівні правління. Так і повинно бути, враховуючи дедалі важливішу роль, яку відіграє управління кіберризиками у прийнятті стратегічних рішень. Кіберризик — це, по суті, основний бізнес-ризик, який може призвести до або зламати організацію. Це, безумовно, думка нові правила регулювання в США. 

Але, визнаючи його важливість, ради та регулятори також посилюють тиск на CISO, не обов’язково надаючи їм належне визнання та винагороду. Результат: наростання стресу, виснаження та незадоволення. Три чверті (75%) CISO як кажуть відкритий для змін, що на вісім процентних пунктів більше, ніж рік тому. І 64% задоволені своєю роллю, що на 10% менше.

Ці виклики мають серйозні наслідки для кібербезпеки в організаціях. Їх вирішення має бути першочерговим завданням.

Усе більш стресова роль

У CISO завжди була напружена робота. Серед водіїв останнім часом є:

  • Швидке зростання рівні кіберзагрози, які залишають багато організацій у безперервному режимі пожежогасіння
  • Промисловість нестача навичок які залишають ключові команди неукомплектованими
  • Надмірне робоче навантаження через збільшення вимог до залу засідань
  • Відсутність відповідних ресурсів і фінансування
  • Навантаження, яке змушує CISO працювати довго та скасовувати відпустки
  • Цифрова трансформація, яка продовжує розширювати корпорацію поверхню кібератак
  • Вимоги до комплаєнсу зростають з кожним роком

Не дивно, що чверть (24%) світових лідерів ІТ та безпеки визнали займатися самолікуванням, щоб зняти стрес. Зростаючий рівень стресу не просто підвищує ймовірність вигорання та/або раннього виходу на пенсію – він може призвести до неправильного прийняття рішень (як зазначив це дослідження, наприклад), а також впливають на когнітивні навички та здатність раціонально мислити. Дійсно, було припущено, що навіть очікування напруженого дня попереду може вплинути на пізнання. Близько двох третин (65%) CISO визнати що стрес, пов’язаний з роботою, вплинув на їхню здатність працювати.

Перевірка створює додатковий тиск з боку CISO

На додачу до цього основного рівня стресу протягом останніх місяців прийшла додаткова регулятивна, юридична перевірка та перевірка правління. Три останні події повчальні:

  • May 2023: Колишній CSO Uber, Джо Салліван був засуджений до трьох років умовного терміну після того, як його визнали винним у двох злочинах, пов’язаних із його роллю в спробі приховати мегазлом у 2016 році. Прихильники стверджують, що його цапом відбули тодішній генеральний директор Тревіс Каланік і внутрішній юрист Uber Крейг Кларк, Салліван пояснює що Каланік підписав свій спірний платіж у розмірі 100,000 XNUMX доларів хакерам.
  • Жовтень 2023: По-перше, Комісія з цінних паперів і цінних паперів стягнула з SolarWinds CISO Тімоті Брауна за применшення або нерозкриття кіберризику, водночас перебільшуючи методи безпеки фірми. У скарзі йдеться про кілька внутрішніх коментарів Брауна та стверджується, що він не зміг вирішити або підвищити ці серйозні проблеми в компанії.
  • Грудня 2023: Нові правила звітності SEC набули чинності, вимагаючи від публічно зареєстрованих компаній повідомляти про «суттєві» кіберінциденти протягом чотирьох робочих днів після визначення суттєвості. Компанії також повинні будуть щорічно описувати свої процеси для оцінки, ідентифікації та управління ризиками та впливом будь-яких інцидентів. І їм потрібно буде детально розповісти про нагляд правління за кіберризиками та його експертизу в оцінці та управлінні такими ризиками.

Регуляторний нагляд розвивається не лише в США. Нова директива NIS2, яку планується транспонувати в законодавство країн-членів ЄС до жовтня 2024 року, покладає пряму відповідальність на правління за затвердження заходів з управління кіберризиками та нагляд за їх впровадженням. Члени вищого керівництва також можуть бути притягнуті до особистої відповідальності, якщо визнають недбалість у випадках серйозних інцидентів.

За оцінками Аналітик Enterprise Strategy Group (EST) Джон Олцік, зростаючий тиск, який такі кроки чинять на CISO, ускладнює їх основну роботу – реагувати на загрози та керувати кіберризиками. Нещодавнє дослідження ESG показує, що такі завдання, як робота з радою, нагляд за дотриманням нормативних вимог і управління бюджетом, перетворюють роль CISO з технічної на бізнес-орієнтовану. У той же час зростаюча залежність від ІТ для забезпечення цифрової трансформації та успіху бізнесу стала надзвичайною. Опитування стверджує, що 65% CISO думали залишити свою посаду через стрес.

cisos-вигорання-стрес-відповідальність

Винос для CISO та правлінь

Суть полягає в тому, що якщо CISO насилу справляються з робочим навантаженням і бояться репресій з боку регуляторів і навіть кримінальної відповідальності за свої дії, вони, ймовірно, щодня прийматимуть гірші рішення. Багато хто може навіть залишити галузь. Це вже мало б дуже шкідливий вплив на сектор бореться з нестачею навичок.

Але це не повинно бути таким чином. Є речі, які і правління, і їхні CISO можуть зробити, щоб полегшити ситуацію. У їхніх інтересах обох знайти вихід із цього. Зверніть увагу на наступне:

  • Правління повинні оцінювати психічне здоров’я CISO, робоче навантаження, ресурси та структури звітності, щоб оптимізувати їх ефективність. Високий рівень вивільнення може призвести до тривалих перерв без постійного CISO, що демотивує команди та впливає на стратегію безпеки.
  • Правління має винагороджувати своїх CISO відповідно до підвищеного ризику, який тепер передбачає їхня роль.
  • Необхідно регулярно взаємодіяти з радою директорів і CISO, якщо це можливо, з прямим підпорядкуванням генеральному директору. Це допоможе покращити зв’язок між ними та підвищить позицію CISO відповідно до їхніх обов’язків.
  • Правління повинні надати своїм CISO страхування директорів і посадових осіб (D&O). щоб допомогти захистити їх від серйозного ризику.
  • CISO повинні залишатися в галузі, яку вони люблять, і брати на себе більшу відповідальність, а не тікати від неї. Але вони також повинні пам’ятати, що їхня роль полягає в тому, щоб консультувати та надавати контекст дошці. Дозвольте іншим робити важливі дзвінки.
  • CISO завжди повинні надавати пріоритет прозорості та відкритості, особливо з регуляторними органами.
  • CISO повинні бути уважними до того, що вони поширюють всередині компанії, і гарантувати, що спірні рішення або запити від керівників завжди фіксуються в письмовій формі.

Знаходячи нову посаду, CISO слід найняти особистого юриста, щоб детально ознайомитися з їхнім потенційним контрактом.

Щоб оптимізувати стратегію кібербезпеки, ради директорів повинні почати з переоцінки ролі CISO. Наступний крок — переконатися, що фахівець з кібербезпеки на цій посаді має достатню підтримку та достатню винагороду, щоб захотіти залишитися там.

Часова мітка:

Більше від Ми живемо безпеки