An ninh kinh doanh
Khối lượng công việc nặng nề và nỗi ám ảnh về trách nhiệm cá nhân đối với các sự cố gây tổn hại cho các nhà lãnh đạo an ninh, đến mức nhiều người trong số họ phải tìm lối thoát. Điều này có ý nghĩa gì đối với hoạt động phòng thủ mạng của công ty?
Tháng Hai 08 2024 • , 5 phút đọc
An ninh mạng cuối cùng đã trở thành một vấn đề cấp hội đồng quản trị. Đó là điều lẽ ra phải xảy ra do quản lý rủi ro mạng ngày càng đóng vai trò quan trọng trong việc ra quyết định chiến lược. Rủi ro mạng về cơ bản là rủi ro kinh doanh cốt lõi có khả năng tạo ra hoặc phá vỡ một tổ chức. Đó chắc chắn là suy nghĩ đằng sau quy định mới tại Hoa Kỳ.
Nhưng bằng cách nhận ra tầm quan trọng của nó, hội đồng quản trị và cơ quan quản lý cũng đang gây thêm áp lực lên CISO mà không nhất thiết phải trao cho họ sự công nhận và khen thưởng phù hợp. Kết quả: căng thẳng gia tăng, kiệt sức và không hài lòng. Ba phần tư (75%) CISO được cho là sẵn sàng thay đổi, tăng 64 điểm phần trăm so với một năm trước. Và 10% hài lòng với vai trò của mình, giảm XNUMX%.
Những thách thức này có ý nghĩa nghiêm trọng đối với an ninh mạng trong các tổ chức. Giải quyết chúng phải là một ưu tiên cấp bách.
Vai trò ngày càng căng thẳng
CISO luôn có một công việc căng thẳng. Trong số các trình điều khiển gần đây có:
- Phẫu thuật mức độ đe dọa mạng, khiến nhiều tổ chức rơi vào tình trạng chữa cháy liên tục
- Công nghiệp thiếu kỹ năng khiến các đội chủ chốt thiếu nhân lực
- Khối lượng công việc quá mức do nhu cầu phòng họp ngày càng tăng
- Thiếu nguồn lực và kinh phí phù hợp
- Khối lượng công việc buộc CISO phải làm việc nhiều giờ và hủy bỏ ngày nghỉ
- Chuyển đổi kỹ thuật số, tiếp tục mở rộng hoạt động của công ty bề mặt tấn công mạng
- Yêu cầu tuân thủ tiếp tục tăng lên theo từng năm
Không có gì ngạc nhiên khi một phần tư (24%) các nhà lãnh đạo CNTT và bảo mật toàn cầu đã thừa nhận tự dùng thuốc để giảm bớt căng thẳng. Mức độ căng thẳng ngày càng tăng không chỉ làm tăng khả năng kiệt sức và/hoặc nghỉ hưu sớm – chúng còn có thể dẫn đến việc đưa ra những quyết định sai lầm (như đã lưu ý bởi nghiên cứu này, chẳng hạn), cũng như tác động đến kỹ năng nhận thức và khả năng suy nghĩ hợp lý. Thật vậy, người ta cho rằng ngay cả việc dự đoán về một ngày căng thẳng sắp tới cũng có thể ảnh hưởng đến nhận thức. Khoảng hai phần ba (65%) CISO thừa nhận rằng căng thẳng liên quan đến công việc đã làm tổn hại đến khả năng thực hiện công việc của họ.
Sự giám sát gây thêm áp lực cho CISO
Bên cạnh sự căng thẳng cơ bản này còn có sự giám sát chặt chẽ hơn về mặt quản lý, pháp lý và hội đồng quản trị trong những tháng gần đây. Ba sự kiện gần đây mang tính hướng dẫn:
- May 2023: Cựu CSO của Uber, Joe Sullivan bị kết án ba năm quản chế sau khi bị kết tội hai trọng tội liên quan đến vai trò của anh ta trong nỗ lực che đậy một vụ vi phạm lớn năm 2016. Những người ủng hộ cho rằng ông đã bị CEO lúc đó là Travis Kalanick và luật sư nội bộ của Uber, Craig Clark, đổ lỗi cho ông. Sullivan giải thích rằng Kalanick đã ký vào khoản thanh toán 100,000 đô la gây tranh cãi của mình cho các tin tặc.
- Tháng Mười 2023: Trong lần đầu tiên, SEC tính phí SolarWinds CISO Timothy Brown vì đã hạ thấp hoặc không tiết lộ rủi ro mạng trong khi phóng đại các biện pháp bảo mật của công ty. Đơn khiếu nại đề cập đến một số bình luận nội bộ do Brown đưa ra và cáo buộc ông đã không giải quyết hoặc giải quyết những mối lo ngại nghiêm trọng này trong công ty.
- Tháng Mười Hai 2023: Quy tắc báo cáo mới của SEC có hiệu lực, yêu cầu các công ty niêm yết công khai phải báo cáo các sự cố mạng “quan trọng” trong vòng bốn ngày làm việc kể từ khi xác định tính trọng yếu. Các công ty cũng sẽ cần mô tả hàng năm các quy trình đánh giá, xác định và quản lý rủi ro cũng như tác động của bất kỳ sự cố nào. Và họ sẽ cần trình bày chi tiết hoạt động giám sát rủi ro mạng cũng như chuyên môn của ban giám đốc trong việc đánh giá và quản lý rủi ro đó.
Không chỉ ở Mỹ, nơi giám sát quy định đang được xây dựng. Chỉ thị NIS2 mới dự kiến được chuyển thành luật của các quốc gia thành viên EU trước tháng 2024 năm XNUMX đặt trách nhiệm trực tiếp lên hội đồng trong việc phê duyệt các biện pháp quản lý rủi ro mạng và giám sát việc thực hiện chúng. Các thành viên của C-Suite cũng có thể phải chịu trách nhiệm cá nhân nếu bị phát hiện cẩu thả trong trường hợp xảy ra sự cố nghiêm trọng.
Theo Nhà phân tích Jon Oltsik của Nhóm Chiến lược Doanh nghiệp (EST), áp lực ngày càng tăng mà những động thái như vậy đặt lên CISO đang khiến công việc cốt lõi của họ là ứng phó với các mối đe dọa và quản lý rủi ro mạng trở nên khó khăn hơn. Một nghiên cứu gần đây của ESG tiết lộ rằng các nhiệm vụ như làm việc với hội đồng quản trị, giám sát việc tuân thủ quy định và quản lý ngân sách đang chuyển vai trò của CISO từ vai trò kỹ thuật sang định hướng kinh doanh. Đồng thời, sự phụ thuộc ngày càng tăng vào CNTT để thúc đẩy chuyển đổi kỹ thuật số và thành công trong kinh doanh đã trở nên quá mức. Cuộc khảo sát cho biết 65% CISO đã cân nhắc việc rời bỏ vai trò của mình do căng thẳng.
Bài học rút ra cho CISO và hội đồng quản trị
Điểm mấu chốt là nếu các CISO đang phải vật lộn để đối phó với khối lượng công việc và lo sợ bị pháp luật trả thù và thậm chí phải chịu trách nhiệm hình sự về hành động của mình, họ có thể sẽ đưa ra những quyết định tồi tệ hơn hàng ngày. Nhiều người thậm chí có thể rời khỏi ngành. Điều này sẽ có tác động cực kỳ xấu đến một lĩnh vực vật lộn với tình trạng thiếu kỹ năng.
Nhưng nó không cần phải theo cách này. Có những điều mà cả hội đồng quản trị và CISO của họ có thể làm để giảm bớt tình hình. Tìm cách vượt qua chuyện này đều có lợi cho cả hai. Hãy xem xét những điều sau:
- Hội đồng nên đánh giá sức khỏe tâm thần, khối lượng công việc, nguồn lực và cơ cấu báo cáo của CISO để tối ưu hóa hiệu quả của chúng. Tỷ lệ tiêu hao cao có thể dẫn đến khoảng cách dài nếu không có CISO toàn thời gian, điều này làm mất động lực của các nhóm và ảnh hưởng đến chiến lược bảo mật.
- Hội đồng quản trị nên trả thù lao cho CISO của họ phù hợp với mức độ rủi ro ngày càng cao mà vai trò của họ hiện đang gây ra.
- Sự tham gia thường xuyên của hội đồng quản trị CISO là điều cần thiết, đồng thời báo cáo trực tiếp cho Giám đốc điều hành nếu có thể. Điều này sẽ giúp cải thiện giao tiếp giữa hai bên và nâng cao vị thế của CISO phù hợp với trách nhiệm của họ.
- Các hội đồng nên cung cấp cho CISO của mình những thông tin bảo hiểm giám đốc và cán bộ (D&O) để giúp bảo vệ họ khỏi những rủi ro nghiêm trọng.
- CISO nên gắn bó với ngành họ yêu thích và nhận lấy trách nhiệm lớn hơn thay vì trốn tránh nó. Nhưng họ cũng phải nhớ rằng vai trò của họ là tư vấn và cung cấp bối cảnh cho hội đồng quản trị. Hãy để người khác thực hiện những cuộc gọi lớn.
- CISO phải luôn ưu tiên tính minh bạch và cởi mở, đặc biệt là với các cơ quan quản lý.
- CISO nên lưu ý đến những gì họ lưu hành nội bộ và đảm bảo các quyết định hoặc yêu cầu gây tranh cãi từ C-Suite luôn được ghi lại bằng văn bản.
Khi tìm được một vai trò mới, CISO nên thuê một luật sư cá nhân để xem xét chi tiết hợp đồng tiềm năng của họ.
Để tối ưu hóa chiến lược an ninh mạng, các hội đồng nên bắt đầu bằng cách đánh giá lại vai trò của CISO mà họ mong muốn. Bước tiếp theo là đảm bảo chuyên gia an ninh mạng đảm nhận vai trò đó có đủ sự hỗ trợ và phần thưởng xứng đáng để họ muốn ở lại đó.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.welivesecurity.com/en/business-security/buck-stops-stakes-high-cisos/
- : có
- :là
- :không phải
- :Ở đâu
- $ LÊN
- 000
- 2016
- 2023
- 2024
- 35%
- 91
- a
- có khả năng
- Giới thiệu
- hành động
- giải quyết
- đầy đủ
- tư vấn cho
- Sau
- cách đây
- trước
- giảm bớt
- Đã
- Ngoài ra
- luôn luôn
- trong số
- an
- phân tích
- và
- Hàng năm
- dự đoán
- bất kì
- phê duyệt
- LÀ
- AS
- đánh giá
- Đánh giá
- At
- đã cố gắng
- tiêu hao
- xa
- Baseline
- BE
- trở nên
- được
- sau
- được
- BEST
- giữa
- lớn
- bảng
- cả hai
- đáy
- nâu
- ngân sách
- Xây dựng
- kiệt sức
- kinh doanh
- nhưng
- by
- Bộ C
- Cuộc gọi
- CAN
- trường hợp
- Phân loại
- giám đốc điều hành
- chắc chắn
- thách thức
- thách thức
- thay đổi
- tính phí
- CISO
- xin
- tuyên bố
- sự liên quan
- nhận thức
- Đến
- Bình luận
- Giao tiếp
- công ty
- khiếu nại
- tuân thủ
- Thỏa hiệp
- Mối quan tâm
- Hãy xem xét
- xem xét
- bối cảnh
- tiếp tục
- liên tiếp
- liên tục
- hợp đồng
- gây tranh cãi
- Trung tâm
- Doanh nghiệp
- có thể
- che đậy
- Craig
- Hình sự
- không gian mạng
- An ninh mạng
- ngày
- ngày qua ngày
- Ngày
- quyết định
- Ra quyết định
- quyết định
- phụ thuộc
- mô tả
- chi tiết
- xác định
- kỹ thuật số
- chuyển đổi kỹ thuật số
- trực tiếp
- tiết lộ
- do
- làm
- Không
- dont
- xuống
- trình điều khiển
- hai
- mỗi
- Đầu
- hiệu quả
- tám
- NÂNG
- cao
- ôm hôn
- Tham gia
- đủ
- đảm bảo
- ESG
- đặc biệt
- thiết yếu
- EU
- Ngay cả
- sự kiện
- ví dụ
- lối thoát hiểm
- Mở rộng
- chuyên môn
- thêm
- thất bại
- không
- sợ hãi
- Tháng Hai
- Cuối cùng
- Tìm kiếm
- tìm kiếm
- hãng
- Tên
- tiếp theo
- Trong
- Buộc
- Lực lượng
- Cựu
- tìm thấy
- 4
- từ
- về cơ bản
- xa hơn
- khoảng trống
- được
- Cho
- Toàn cầu
- Go
- lớn hơn
- Nhóm
- Phát triển
- Phát triển
- tội
- tin tặc
- có
- Có
- he
- cho sức khoẻ
- Được tổ chức
- giúp đỡ
- tại đây
- Cao
- Thuê
- của mình
- GIỜ LÀM VIỆC
- HTML
- HTTPS
- cực kỳ
- xác định
- if
- Va chạm
- Tác động
- thực hiện
- hàm ý
- tầm quan trọng
- quan trọng
- nâng cao
- in
- Tăng lên
- tăng
- lên
- thực sự
- ngành công nghiệp
- lợi ích
- nội bộ
- nội bộ
- trong
- IT
- ITS
- Việc làm
- jon
- jpg
- chỉ
- Tư pháp
- Key
- Thiếu sót
- Luật
- luật sư
- dẫn
- các nhà lãnh đạo
- Rời bỏ
- để lại
- Hợp pháp
- cho phép
- niveaux
- trách nhiệm
- khả năng
- Có khả năng
- Dòng
- dòng
- Liệt kê
- dài
- Xem
- yêu
- thực hiện
- làm cho
- Làm
- quản lý
- quản lý
- nhiều
- max-width
- Có thể..
- nghĩa là
- các biện pháp
- hội viên
- Các thành viên
- tâm thần
- Sức khỏe tâm thần
- phút
- tháng
- chi tiết
- di chuyển
- nhiều
- phải
- nhất thiết
- Cần
- Mới
- tiếp theo
- Không
- lưu ý
- tại
- Tháng Mười
- of
- off
- cán bộ
- on
- ONE
- mở
- Sự cởi mở
- Tối ưu hóa
- or
- tổ chức
- Khác
- kết thúc
- giám sát
- giám sát
- Giám sát
- áp đảo
- Đi qua
- thanh toán
- tỷ lệ phần trăm
- Thực hiện
- riêng
- Cá nhân
- PHIL
- đặt
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- đóng
- điểm
- người nghèo
- vị trí
- có thể
- tiềm năng
- quyền lực
- thực hành
- áp lực
- Ưu tiên
- ưu tiên
- Quy trình
- chuyên nghiệp
- tương lai
- cho
- công khai
- niêm yết công khai
- Puts
- Quý
- Giá
- hơn
- gần đây
- gần đây
- công nhận
- công nhận
- ghi lại
- đề cập
- Điều phối
- nhà quản lý
- Tuân thủ quy định
- giám sát quản lý
- liên quan
- nhớ
- báo cáo
- Báo cáo
- yêu cầu
- Yêu cầu
- giải quyết
- Thông tin
- đáp ứng
- trách nhiệm
- trách nhiệm
- kết quả
- nghỉ hưu
- Tiết lộ
- Khen thưởng
- Nguy cơ
- quản lý rủi ro
- Vai trò
- chạy
- s
- Nói
- tương tự
- hài lòng
- hài lòng với
- giám sát
- SEC
- ngành
- an ninh
- nghiêm trọng
- định
- một số
- nên
- Ký kết
- tình hình
- kỹ năng
- So
- SolarWinds
- một số
- bóng ma
- cổ phần
- Bắt đầu
- Bang
- ở lại
- Bước
- Dừng
- Chiến lược
- Chiến lược
- căng thẳng
- cấu trúc
- Đấu tranh
- Học tập
- thành công
- như vậy
- đủ
- phù hợp
- Sullivan
- hỗ trợ
- ủng hộ
- tăng
- bất ngờ
- Khảo sát
- Hãy
- nhiệm vụ
- đội
- Kỹ thuật
- hơn
- việc này
- Sản phẩm
- cung cấp their dịch
- Them
- Đó
- Kia là
- họ
- điều
- nghĩ
- Suy nghĩ
- điều này
- các mối đe dọa
- số ba
- Thông qua
- thời gian
- Yêu sách
- đến
- hàng đầu
- Chuyển đổi
- Minh bạch
- Quay
- hai
- hai phần ba
- Uber
- khẩn cấp
- us
- muốn
- là
- Đường..
- TỐT
- Điều gì
- cái nào
- trong khi
- tại sao
- chiều rộng
- sẽ
- với
- ở trong
- không có
- Công việc
- đang làm việc
- tệ hơn
- sẽ
- viết
- năm
- zephyrnet