责任到此为止：对于 CISO 来说风险很高

由柏拉图重新发布

关注： 0

商业安全

繁重的工作量和对事故的个人责任的恐惧给安全领导者带来了巨大的损失，以至于他们中的许多人都在寻找出口。这对企业网络防御意味着什么？

菲尔·芒卡斯特

08年二月2024日 • , 5分钟读

网络安全终于来了成为董事会层面的问题。鉴于网络风险管理在战略决策中发挥着越来越重要的作用，情况应该如此。网络风险从根本上来说是一种核心业务风险，有可能造成或破坏一个组织。这肯定是背后的想法新的监管规则在美国。

但通过认识到其重要性，董事会和监管机构也给 CISO 施加了更大的压力，但不一定给予他们适当的认可和奖励。结果是：压力激增、倦怠和不满。四分之三 (75%) 的 CISO 据说是愿意改变的态度比一年前上升了八个百分点。 64% 对自己的角色感到满意，下降了 10%。

这些挑战对组织内部的网络安全产生严重影响。解决这些问题应该是当务之急。

压力越来越大的角色

CISO 的工作一直压力很大。最近的司机包括：

滔滔网络威胁级别，这使得许多组织处于持续救火模式
行业应用技能短缺导致关键团队人手不足
由于董事会需求增加而导致工作量过大
缺乏足够的资源和资金
工作量迫使 CISO 长时间工作并取消假期
数字化转型，持续扩大企业规模网络攻击面
合规要求逐年持续增长

毫不奇怪，四分之一 (24%) 的全球 IT 和安全领导者已经承认自我治疗以缓解压力。不断增加的压力水平不仅增加了倦怠和/或提前退休的可能性，还可能导致糟糕的决策（正如本研究，例如），以及影响认知技能和理性思考的能力。事实上，有人认为，即使是对未来充满压力的一天的预期也会影响认知。约三分之二 (65%) 的 CISO 承认与工作相关的压力损害了他们的工作能力。

审查进一步施加 CISO 压力

近几个月来，除了这种压力基线之外，还出现了额外的监管、法律和董事会审查。最近发生的三件事具有启发性：

五月2023： 前优步 CSO，乔·沙利文被判刑在被判犯有两项重罪后，他被判缓刑三年，这些重罪与他试图掩盖 2016 年特大违规事件有关。支持者声称，时任首席执行官特拉维斯·卡兰尼克 (Travis Kalanick) 和 Uber 内部律师克雷格·克拉克 (Craig Clark) 将他当作替罪羊。沙利文解释卡兰尼克已签署了向黑客支付颇受争议的 100,000 万美元款项。
十月2023： 首先， SEC 对 SolarWinds 首席信息安全官 (CISO) 提出指控蒂莫西·布朗 (Timothy Brown) 低估或未能披露网络风险，同时夸大了公司的安全实践。投诉提到了布朗发表的几项内部评论，并声称他未能在公司内部解决或提升这些严重问题。
月2023： 新的 SEC 报告规则该法案生效，要求上市公司在确定重要性后四个工作日内报告“重大”网络事件。公司还需要每年描述其评估、识别和管理风险以及任何事件影响的流程。他们需要详细说明董事会对网络风险的监督及其在评估和管理此类风险方面的专业知识。

监管监督的建立不仅仅在美国。新的 NIS2 指令将于 2024 年 XNUMX 月纳入欧盟成员国法律，董事会直接负责批准网络风险管理措施并监督其实施。如果在严重事件中发现疏忽，最高管理层成员也可能承担个人责任。

根据 Enterprise Strategy Group (EST) 分析师 Jon Oltsik此类举措给 CISO 带来的压力越来越大，使得他们响应威胁和管理网络风险的核心工作变得更具挑战性。最近的一项 ESG 研究表明，与董事会合作、监督监管合规性和管理预算等任务正在将 CISO 的角色从技术导向转变为业务导向。与此同时，人们越来越依赖 IT 来推动数字化转型和业务成功，这一点已经变得势不可挡。调查称，65% 的 CISO 因压力而考虑过离职。

顺式倦怠压力责任