商业安全
繁重的工作量和对事故的个人责任的恐惧给安全领导者带来了巨大的损失,以至于他们中的许多人都在寻找出口。这对企业网络防御意味着什么?
08年二月2024日 • , 5分钟读
网络安全终于来了 成为董事会层面的问题。鉴于网络风险管理在战略决策中发挥着越来越重要的作用,情况应该如此。网络风险从根本上来说是一种核心业务风险,有可能造成或 破坏一个组织。这肯定是背后的想法 新的监管规则 在美国。
但通过认识到其重要性,董事会和监管机构也给 CISO 施加了更大的压力,但不一定给予他们适当的认可和奖励。结果是:压力激增、倦怠和不满。四分之三 (75%) 的 CISO 据说是 愿意改变的态度比一年前上升了八个百分点。 64% 对自己的角色感到满意,下降了 10%。
这些挑战对组织内部的网络安全产生严重影响。解决这些问题应该是当务之急。
压力越来越大的角色
CISO 的工作一直压力很大。最近的司机包括:
- 滔滔 网络威胁级别,这使得许多组织处于持续救火模式
- 行业应用 技能短缺 导致关键团队人手不足
- 由于董事会需求增加而导致工作量过大
- 缺乏足够的资源和资金
- 工作量迫使 CISO 长时间工作并取消假期
- 数字化转型,持续扩大企业规模 网络攻击面
- 合规要求逐年持续增长
毫不奇怪,四分之一 (24%) 的全球 IT 和安全领导者 已经承认 自我治疗以缓解压力。不断增加的压力水平不仅增加了倦怠和/或提前退休的可能性,还可能导致糟糕的决策(正如 本研究,例如),以及影响认知技能和理性思考的能力。事实上,有人认为,即使是对未来充满压力的一天的预期也会影响认知。约三分之二 (65%) 的 CISO 承认 与工作相关的压力损害了他们的工作能力。
审查进一步施加 CISO 压力
近几个月来,除了这种压力基线之外,还出现了额外的监管、法律和董事会审查。最近发生的三件事具有启发性:
- 五月2023: 前优步 CSO, 乔·沙利文被判刑 在被判犯有两项重罪后,他被判缓刑三年,这些重罪与他试图掩盖 2016 年特大违规事件有关。支持者声称,时任首席执行官特拉维斯·卡兰尼克 (Travis Kalanick) 和 Uber 内部律师克雷格·克拉克 (Craig Clark) 将他当作替罪羊。 沙利文解释 卡兰尼克已签署了向黑客支付颇受争议的 100,000 万美元款项。
- 十月2023: 首先, SEC 对 SolarWinds 首席信息安全官 (CISO) 提出指控 蒂莫西·布朗 (Timothy Brown) 低估或未能披露网络风险,同时夸大了公司的安全实践。投诉提到了布朗发表的几项内部评论,并声称他未能在公司内部解决或提升这些严重问题。
- 月2023: 新的 SEC 报告规则 该法案生效,要求上市公司在确定重要性后四个工作日内报告“重大”网络事件。公司还需要每年描述其评估、识别和管理风险以及任何事件影响的流程。他们需要详细说明董事会对网络风险的监督及其在评估和管理此类风险方面的专业知识。
监管监督的建立不仅仅在美国。新的 NIS2 指令将于 2024 年 XNUMX 月纳入欧盟成员国法律,董事会直接负责批准网络风险管理措施并监督其实施。如果在严重事件中发现疏忽,最高管理层成员也可能承担个人责任。
根据 Enterprise Strategy Group (EST) 分析师 Jon Oltsik此类举措给 CISO 带来的压力越来越大,使得他们响应威胁和管理网络风险的核心工作变得更具挑战性。最近的一项 ESG 研究表明,与董事会合作、监督监管合规性和管理预算等任务正在将 CISO 的角色从技术导向转变为业务导向。与此同时,人们越来越依赖 IT 来推动数字化转型和业务成功,这一点已经变得势不可挡。调查称,65% 的 CISO 因压力而考虑过离职。
CISO 和董事会的要点
底线是,如果 CISO 难以应对工作量,并且担心监管报复,甚至因其行为承担刑事责任,他们可能会做出更糟糕的日常决策。许多人甚至可能离开这个行业。这将对已经存在的行业产生巨大的恶性影响 与技能短缺作斗争.
但事情并不需要这样。董事会及其 CISO 可以采取一些措施来缓解这种情况。找到解决办法符合他们双方的最大利益。考虑以下:
- 董事会应评估 CISO 的心理健康状况、工作量、资源和报告结构,以优化其有效性。高流失率可能会导致长期缺乏全职 CISO,从而降低团队积极性并影响安全策略。
- 董事会应根据首席信息安全官 (CISO) 的角色现在承担的更高风险来为其支付薪酬。
- 董事会与 CISO 的定期接触至关重要,如果可能的话,直接向首席执行官汇报。这将有助于改善两者之间的沟通,并根据其职责提升 CISO 的地位。
- 董事会应向其 CISO 提供 董事及高级职员 (D&O) 保险 帮助他们免受严重风险。
- CISO应该坚持自己热爱的行业,承担更大的责任,而不是逃避。但他们也必须记住,他们的角色是为董事会提供建议并提供背景信息。让其他人做出重大决定。
- CISO 应始终优先考虑透明度和开放性,尤其是对监管机构而言。
- CISO 应注意内部流通的内容,并确保最高管理层的有争议的决定或要求始终以书面形式记录。
在寻找新职位时,首席信息安全官应聘请私人律师来详细审查他们预期的合同。
为了优化网络安全策略,董事会应首先重新评估他们希望 CISO 的角色。下一步是确保担任该职位的网络安全专业人员有足够的支持和足够的奖励来留任。
- :具有
- :是
- :不是
- :在哪里
- $UP
- 000
- 2016
- 2023
- 2024
- 35%
- 91
- a
- 对,能力--
- 关于
- 行动
- 解决
- 充足
- 劝
- 后
- 前
- 向前
- 缓和
- 已经
- 还
- 时刻
- 其中
- an
- 分析人士
- 和
- 每年
- 预期
- 任何
- 批准
- 保健
- AS
- 评估
- 评估
- At
- 尝试
- 损耗
- 远离
- 底线
- BE
- 成为
- 很
- 背后
- 作为
- 最佳
- 之间
- 大
- 板
- 都
- 半身裙/裤
- 棕色
- 预算
- 建筑物
- 倦怠
- 商业
- 但是
- by
- C-套房
- 呼叫
- CAN
- 例
- 产品类别
- CEO
- 当然
- 挑战
- 挑战
- 更改
- 带电
- CISO
- 要求
- 索赔
- 认识
- 认知
- 如何
- 注释
- 沟通
- 公司
- 抱怨
- 符合
- 妥协
- 关注
- 考虑
- 考虑
- 上下文
- 继续
- 继续
- 连续
- 合同
- 争议
- 核心
- 公司
- 可以
- 掩饰
- 克雷格
- 刑事
- 网络
- 网络安全
- 天
- 日复一日
- 一年中的
- 决定
- 决策
- 决定
- 依赖
- 描述
- 细节
- 决心
- 数字
- 数字化改造
- 直接
- 透露
- do
- 不
- 不会
- 别
- 向下
- 驱动程序
- 两
- 每
- 早
- 效用
- 八
- ELEVATE
- 提高的
- 拥抱
- 订婚
- 更多
- 确保
- ESG
- 特别
- 必要
- EU
- 甚至
- 事件
- 例子
- 退出
- 扩大
- 专门知识
- 额外
- 失败
- 失败
- 恐惧
- 二月
- 终于
- 找到最适合您的地方
- 寻找
- 企业
- 姓氏:
- 以下
- 针对
- 力
- 部队
- 前
- 发现
- 四
- 止
- 从根本上
- 进一步
- 差距
- 特定
- 给予
- 全球
- Go
- 更大的
- 团队
- 增长
- 成长
- 有罪
- 黑客
- 民政事务总署
- 有
- he
- 健康管理
- 保持
- 帮助
- 相关信息
- 高
- 聘请
- 他的
- HOURS
- HTML
- HTTPS
- 巨大的
- 确定
- if
- 影响力故事
- 影响
- 履行
- 启示
- 重要性
- 重要
- 改善
- in
- 增加
- 增加
- 日益
- 的确
- 行业中的应用:
- 利益
- 内部
- 内部
- 成
- IT
- 它的
- 工作
- 乔恩
- JPG
- 只是
- 司法
- 键
- 缺乏
- 法律
- 律师
- 铅
- 领导人
- 离开
- 离开
- 法律咨询
- 让
- 各级
- 责任
- 可能性
- 容易
- Line
- 线
- 已发布
- 长
- 看
- 爱
- 制成
- 使
- 制作
- 颠覆性技术
- 管理的
- 许多
- 最大宽度
- 可能..
- 意味着
- 措施
- 会员
- 成员
- 心理
- 心理健康
- 分钟
- 个月
- 更多
- 移动
- 许多
- 必须
- 一定
- 需求
- 全新
- 下页
- 没有
- 注意到
- 现在
- 十月
- of
- 折扣
- 人员
- on
- 一
- 打开
- 透明度
- 优化
- or
- 组织
- 其它
- 超过
- 监视
- 监督
- 疏忽
- 压倒性
- 通过
- 付款
- 百分比
- 演出
- 个人
- 亲自
- PHIL
- 配售
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 扮演
- 点
- 贫困
- 位置
- 可能
- 潜力
- 功率
- 做法
- 压力
- 优先
- 优先
- 过程
- 所以专业
- 预期
- 提供
- 公然
- 公开上市
- 认沽期权
- 季
- 价格表
- 宁
- 最近
- 最近
- 承认
- 认识
- 记录
- 指
- 稳压器
- 监管
- 法规符合
- 监管监督
- 有关
- 纪念
- 报告
- 报告
- 要求
- 岗位要求
- 解决
- 资源
- 回应
- 责任
- 责任
- 导致
- 退休
- 揭示
- 积分
- 风险
- 变更管理
- 角色
- 运行
- s
- 说
- 同
- 满意
- 对满意
- 审查
- 证券交易委员会
- 扇形
- 保安
- 严重
- 集
- 几个
- 应该
- 签
- 情况
- 技能
- So
- SolarWinds的
- 一些
- 幽灵
- 赌注
- 开始
- 州
- 留
- 步
- 车站
- 善用
- 策略
- 应力
- 结构
- 奋斗的
- 学习
- 成功
- 这样
- 足够
- 合适的
- 沙利文
- SUPPORT
- 支持者
- 滔滔
- 惊
- 调查
- 采取
- 任务
- 队
- 文案
- 比
- 这
- 其
- 他们
- 那里。
- 博曼
- 他们
- 事
- 认为
- 思维
- Free Introduction
- 威胁
- 三
- 通过
- 次
- 标题
- 至
- 最佳
- 转型
- 用户评论透明
- 谈到
- 二
- 三分之二
- 尤伯杯
- 紧急
- us
- 想
- 是
- 方法..
- 井
- 什么是
- 这
- 而
- 为什么
- 宽度
- 将
- 中
- 也完全不需要
- 工作
- 加工
- 更坏
- 将
- 写作
- 年
- 和风网