Vấn đề dừng lại ở đây: Tiền đặt cược rất cao đối với CISO

An ninh kinh doanh

Khối lượng công việc nặng nề và nỗi ám ảnh về trách nhiệm cá nhân đối với các sự cố gây tổn hại cho các nhà lãnh đạo an ninh, đến mức nhiều người trong số họ phải tìm lối thoát. Điều này có ý nghĩa gì đối với hoạt động phòng thủ mạng của công ty?

Phil Muncaster

Tháng Hai 08 2024  •  , 5 phút đọc

An ninh mạng cuối cùng đã trở thành một vấn đề cấp hội đồng quản trị. Đó là điều lẽ ra phải xảy ra do quản lý rủi ro mạng ngày càng đóng vai trò quan trọng trong việc ra quyết định chiến lược. Rủi ro mạng về cơ bản là rủi ro kinh doanh cốt lõi có khả năng tạo ra hoặc phá vỡ một tổ chức. Đó chắc chắn là suy nghĩ đằng sau quy định mới tại Hoa Kỳ. 

Nhưng bằng cách nhận ra tầm quan trọng của nó, hội đồng quản trị và cơ quan quản lý cũng đang gây thêm áp lực lên CISO mà không nhất thiết phải trao cho họ sự công nhận và khen thưởng phù hợp. Kết quả: căng thẳng gia tăng, kiệt sức và không hài lòng. Ba phần tư (75%) CISO được cho là sẵn sàng thay đổi, tăng 64 điểm phần trăm so với một năm trước. Và 10% hài lòng với vai trò của mình, giảm XNUMX%.

Những thách thức này có ý nghĩa nghiêm trọng đối với an ninh mạng trong các tổ chức. Giải quyết chúng phải là một ưu tiên cấp bách.

Vai trò ngày càng căng thẳng

CISO luôn có một công việc căng thẳng. Trong số các trình điều khiển gần đây có:

• Phẫu thuật mức độ đe dọa mạng, khiến nhiều tổ chức rơi vào tình trạng chữa cháy liên tục
• Công nghiệp thiếu kỹ năng khiến các đội chủ chốt thiếu nhân lực
• Khối lượng công việc quá mức do nhu cầu phòng họp ngày càng tăng
• Thiếu nguồn lực và kinh phí phù hợp
• Khối lượng công việc buộc CISO phải làm việc nhiều giờ và hủy bỏ ngày nghỉ
• Chuyển đổi kỹ thuật số, tiếp tục mở rộng hoạt động của công ty bề mặt tấn công mạng
• Yêu cầu tuân thủ tiếp tục tăng lên theo từng năm

Không có gì ngạc nhiên khi một phần tư (24%) các nhà lãnh đạo CNTT và bảo mật toàn cầu đã thừa nhận tự dùng thuốc để giảm bớt căng thẳng. Mức độ căng thẳng ngày càng tăng không chỉ làm tăng khả năng kiệt sức và/hoặc nghỉ hưu sớm – chúng còn có thể dẫn đến việc đưa ra những quyết định sai lầm (như đã lưu ý bởi nghiên cứu này, chẳng hạn), cũng như tác động đến kỹ năng nhận thức và khả năng suy nghĩ hợp lý. Thật vậy, người ta cho rằng ngay cả việc dự đoán về một ngày căng thẳng sắp tới cũng có thể ảnh hưởng đến nhận thức. Khoảng hai phần ba (65%) CISO thừa nhận rằng căng thẳng liên quan đến công việc đã làm tổn hại đến khả năng thực hiện công việc của họ.

Sự giám sát gây thêm áp lực cho CISO

Bên cạnh sự căng thẳng cơ bản này còn có sự giám sát chặt chẽ hơn về mặt quản lý, pháp lý và hội đồng quản trị trong những tháng gần đây. Ba sự kiện gần đây mang tính hướng dẫn:

• May 2023: Cựu CSO của Uber, Joe Sullivan bị kết án ba năm quản chế sau khi bị kết tội hai trọng tội liên quan đến vai trò của anh ta trong nỗ lực che đậy một vụ vi phạm lớn năm 2016. Những người ủng hộ cho rằng ông đã bị CEO lúc đó là Travis Kalanick và luật sư nội bộ của Uber, Craig Clark, đổ lỗi cho ông. Sullivan giải thích rằng Kalanick đã ký vào khoản thanh toán 100,000 đô la gây tranh cãi của mình cho các tin tặc.
• Tháng Mười 2023: Trong lần đầu tiên, SEC tính phí SolarWinds CISO Timothy Brown vì đã hạ thấp hoặc không tiết lộ rủi ro mạng trong khi phóng đại các biện pháp bảo mật của công ty. Đơn khiếu nại đề cập đến một số bình luận nội bộ do Brown đưa ra và cáo buộc ông đã không giải quyết hoặc giải quyết những mối lo ngại nghiêm trọng này trong công ty.
• Tháng Mười Hai 2023: Quy tắc báo cáo mới của SEC có hiệu lực, yêu cầu các công ty niêm yết công khai phải báo cáo các sự cố mạng “quan trọng” trong vòng bốn ngày làm việc kể từ khi xác định tính trọng yếu. Các công ty cũng sẽ cần mô tả hàng năm các quy trình đánh giá, xác định và quản lý rủi ro cũng như tác động của bất kỳ sự cố nào. Và họ sẽ cần trình bày chi tiết hoạt động giám sát rủi ro mạng cũng như chuyên môn của ban giám đốc trong việc đánh giá và quản lý rủi ro đó.

Không chỉ ở Mỹ, nơi giám sát quy định đang được xây dựng. Chỉ thị NIS2 mới dự kiến ​​được chuyển thành luật của các quốc gia thành viên EU trước tháng 2024 năm XNUMX đặt trách nhiệm trực tiếp lên hội đồng trong việc phê duyệt các biện pháp quản lý rủi ro mạng và giám sát việc thực hiện chúng. Các thành viên của C-Suite cũng có thể phải chịu trách nhiệm cá nhân nếu bị phát hiện cẩu thả trong trường hợp xảy ra sự cố nghiêm trọng.

Theo Nhà phân tích Jon Oltsik của Nhóm Chiến lược Doanh nghiệp (EST), áp lực ngày càng tăng mà những động thái như vậy đặt lên CISO đang khiến công việc cốt lõi của họ là ứng phó với các mối đe dọa và quản lý rủi ro mạng trở nên khó khăn hơn. Một nghiên cứu gần đây của ESG tiết lộ rằng các nhiệm vụ như làm việc với hội đồng quản trị, giám sát việc tuân thủ quy định và quản lý ngân sách đang chuyển vai trò của CISO từ vai trò kỹ thuật sang định hướng kinh doanh. Đồng thời, sự phụ thuộc ngày càng tăng vào CNTT để thúc đẩy chuyển đổi kỹ thuật số và thành công trong kinh doanh đã trở nên quá mức. Cuộc khảo sát cho biết 65% CISO đã cân nhắc việc rời bỏ vai trò của mình do căng thẳng.

Bài học rút ra cho CISO và hội đồng quản trị

Điểm mấu chốt là nếu các CISO đang phải vật lộn để đối phó với khối lượng công việc và lo sợ bị pháp luật trả thù và thậm chí phải chịu trách nhiệm hình sự về hành động của mình, họ có thể sẽ đưa ra những quyết định tồi tệ hơn hàng ngày. Nhiều người thậm chí có thể rời khỏi ngành. Điều này sẽ có tác động cực kỳ xấu đến một lĩnh vực vật lộn với tình trạng thiếu kỹ năng.

Nhưng nó không cần phải theo cách này. Có những điều mà cả hội đồng quản trị và CISO của họ có thể làm để giảm bớt tình hình. Tìm cách vượt qua chuyện này đều có lợi cho cả hai. Hãy xem xét những điều sau:

• Hội đồng nên đánh giá sức khỏe tâm thần, khối lượng công việc, nguồn lực và cơ cấu báo cáo của CISO để tối ưu hóa hiệu quả của chúng. Tỷ lệ tiêu hao cao có thể dẫn đến khoảng cách dài nếu không có CISO toàn thời gian, điều này làm mất động lực của các nhóm và ảnh hưởng đến chiến lược bảo mật.
• Hội đồng quản trị nên trả thù lao cho CISO của họ phù hợp với mức độ rủi ro ngày càng cao mà vai trò của họ hiện đang gây ra.
• Sự tham gia thường xuyên của hội đồng quản trị CISO là điều cần thiết, đồng thời báo cáo trực tiếp cho Giám đốc điều hành nếu có thể. Điều này sẽ giúp cải thiện giao tiếp giữa hai bên và nâng cao vị thế của CISO phù hợp với trách nhiệm của họ.
• Các hội đồng nên cung cấp cho CISO của mình những thông tin bảo hiểm giám đốc và cán bộ (D&O) để giúp bảo vệ họ khỏi những rủi ro nghiêm trọng.
• CISO nên gắn bó với ngành họ yêu thích và nhận lấy trách nhiệm lớn hơn thay vì trốn tránh nó. Nhưng họ cũng phải nhớ rằng vai trò của họ là tư vấn và cung cấp bối cảnh cho hội đồng quản trị. Hãy để người khác thực hiện những cuộc gọi lớn.
• CISO phải luôn ưu tiên tính minh bạch và cởi mở, đặc biệt là với các cơ quan quản lý.
• CISO nên lưu ý đến những gì họ lưu hành nội bộ và đảm bảo các quyết định hoặc yêu cầu gây tranh cãi từ C-Suite luôn được ghi lại bằng văn bản.

Khi tìm được một vai trò mới, CISO nên thuê một luật sư cá nhân để xem xét chi tiết hợp đồng tiềm năng của họ.

Để tối ưu hóa chiến lược an ninh mạng, các hội đồng nên bắt đầu bằng cách đánh giá lại vai trò của CISO mà họ mong muốn. Bước tiếp theo là đảm bảo chuyên gia an ninh mạng đảm nhận vai trò đó có đủ sự hỗ trợ và phần thưởng xứng đáng để họ muốn ở lại đó.