Vastutus peatub siin: CISO-de panused on kõrged

Vastutus peatub siin: CISO-de panused on kõrged

Ajatempel: 8. veebruar 2024 kell 5:30
Allikasõlm: 2474526

Äri turvalisus

Suur töökoormus ja isikliku vastutuse tont intsidentide eest võtavad turvajuhtidel nii palju vaeva, et paljud neist otsivad väljapääsu. Mida see ettevõtete küberkaitse jaoks tähendab?

Phil Muncaster

Phil Muncaster

08 veebruar 2024  •  , 5 min. lugeda

Vastutus peatub siin: miks on CISO-de panused kõrged

Küberturvalisus on lõpuks käes muutumas juhatuse tasandi probleemiks. Nii see peakski olema, arvestades küberriskide juhtimise üha olulisemat rolli strateegiliste otsuste tegemisel. Küberrisk on põhimõtteliselt põhiline äririsk, mis võib tekitada või organisatsiooni lõhkuda. See on kindlasti mõtteviis uued regulatiivsed eeskirjad USA-s. 

Kuid tunnistades selle olulisust, avaldavad juhatused ja reguleerivad asutused ka CISO-dele suuremat survet, ilma et nad annaksid neile tingimata sobivat tunnustust ja tasu. Tulemus: stress, läbipõlemine ja rahulolematus. Kolmveerand (75%) CISO-dest väidetavalt on muutustele avatud, mis on kaheksa protsendipunkti rohkem kui aasta tagasi. Ja 64% on oma rolliga rahul, langedes 10%.

Need väljakutsed mõjutavad tõsiselt organisatsioonide küberturvalisust. Nendega tegelemine peaks olema kiireloomuline prioriteet.

Üha pingelisem roll

CISO-del on alati olnud stressirohke töö. Viimasel ajal on autojuhtide hulgas:

  • Kihisev küberohu tasemed, mis jätavad paljud organisatsioonid pidevale tulekustutusrežiimile
  • Tööstus oskuste nappus mis jätavad võtmemeeskondadel alapersonali
  • Liigne töökoormus koosolekuruumi kasvavate nõudmiste tõttu
  • Piisavate ressursside ja rahastamise puudumine
  • Töökoormus, mis sunnib CISO-sid pikki tunde töötama ja puhkust tühistama
  • Digitaalne ümberkujundamine, mis jätkab ettevõtte laiendamist küberrünnaku pind
  • Vastavusnõuded, mis kasvavad iga aastaga

Pole üllatav, et veerand (24%) globaalsetest IT- ja turbejuhtidest on tunnistanud eneseraviks stressi leevendamiseks. Kasvav stressitase ei suurenda mitte ainult läbipõlemise ja/või ennetähtaegse pensionile jäämise tõenäosust – see võib viia halva otsuste tegemiseni (nagu märkis Selle uuringunäiteks), samuti mõjutab see kognitiivseid oskusi ja võimet mõelda ratsionaalselt. Tõepoolest, on väidetud, et isegi eelseisva stressirohke päeva ootus võib mõjutada tunnetust. Umbes kaks kolmandikku (65%) CISO-dest tunnistama et tööga seotud stress on kahjustanud nende töövõimet.

Kontrollimine avaldab CISO-le täiendavat survet

Lisaks sellele stressile on viimastel kuudel lisandunud täiendav regulatiivne, juriidiline ja juhatuse kontroll. Kolm hiljutist sündmust on õpetlikud:

  • May 2023: Endine Uberi CSO Joe Sullivan mõisteti süüdi kolmeaastase katseajaga pärast seda, kui ta tunnistati süüdi kahes kuriteos, mis olid seotud tema rolliga 2016. aasta megarikkumise varjamise katses. Toetajad väidavad, et tollane tegevjuht Travis Kalanick ja ettevõttesisene Uberi advokaat Craig Clark said ta patuoinaks. Sullivan selgitab et Kalanick oli allkirjastanud oma vastuolulise 100,000 XNUMX dollari suuruse makse häkkeritele.
  • Oktoober 2023: Esiteks, SEC laetud SolarWinds CISO Timothy Browni küberriskide pisendamise või avalikustamata jätmise eest, samal ajal kui ettevõtte turvatavade ületähtsustamist. Kaebuses viidatakse mitmele Browni sisesele kommentaarile ja väidetakse, et ta ei suutnud neid tõsiseid probleeme ettevõtte sees lahendada või tõstatada.
  • Detsember 2023: Uued SEC-i aruandlusreeglid jõustuma, nõudes börsil noteeritud ettevõtetelt „olulistest“ küberintsidentidest teatamist nelja tööpäeva jooksul alates olulisuse kindlakstegemisest. Samuti peavad ettevõtted igal aastal kirjeldama oma protsesse riskide ja vahejuhtumite mõju hindamiseks, tuvastamiseks ja juhtimiseks. Ja nad peavad üksikasjalikult kirjeldama küberriskide järelevalvet ja selle ekspertteadmisi sellise riski hindamisel ja juhtimisel.

Regulatiivne järelevalve ei arene ainult USA-s. 2. aasta oktoobriks EL-i liikmesriikide õigusesse ülevõetav uus NIS2024 direktiiv paneb juhatusele otsese kohustuse kiita heaks küberriskide maandamise meetmed ja jälgida nende rakendamist. C-suite'i liikmeid võib tõsiste vahejuhtumite korral ka isiklikult vastutusele võtta, kui need on leitud hooletusest.

Järgi Enterprise Strategy Groupi (EST) analüütik Jon OltsikSuurenev surve, mida sellised sammud CISO-dele avaldavad, muudab nende põhitöö ohtudele reageerimise ja küberriskide maandamise keerukamaks. Hiljutine ESG uuring näitab, et sellised ülesanded nagu koostöö juhatusega, eeskirjade järgimise jälgimine ja eelarve haldamine muudavad CISO rolli tehniliselt ärikeskseks. Samal ajal on kasvav sõltuvus IT-st digitaalse ümberkujundamise ja äriedu tagamisel muutunud ülekaalukaks. Uuring väidab, et 65% CISO-dest on kaalunud stressi tõttu oma rollist lahkumist.

cisos-läbipõlemine-stress-vastutus

CISO-de ja tahvlite pakkumised

Lõpptulemus on see, et kui CISO-del on raskusi töökoormusega toimetulekuga ja kartuses regulatiivsete vastumeetmete ja isegi kriminaalvastutuse ees oma tegude eest, teevad nad tõenäoliselt hullemaid igapäevaseid otsuseid. Paljud võivad isegi tööstusest lahkuda. Sellel oleks juba praegu sektorile väga pahatahtlik mõju hädas oskuste puudusega.

Kuid see ei pea nii olema. On asju, mida nii juhatused kui ka nende CISOd saavad olukorra leevendamiseks teha. Nende mõlema huvides on sellest väljapääsu leidmine. Kaaluge järgmist.

  • Juhatused peaksid hindama CISOde vaimset tervist, töökoormust, ressursse ja aruandlusstruktuure, et optimeerida nende tõhusust. Kõrge kulumismäär võib ilma täiskohaga CISO-ta põhjustada pikki lünki, mis demotiveerib meeskondi ja mõjutab turvastrateegiat.
  • Juhatused peaksid tasustama oma CISOsid vastavalt nende rolliga kaasnevale kõrgendatud riskile.
  • Regulaarne juhatuse ja CISO kaasamine on hädavajalik, võimalusel andes otse aru tegevjuhile. See aitab parandada nende kahe vahelist suhtlust ja tõstab CISO positsiooni vastavalt nende kohustustele.
  • Juhatus peaks oma CISO-dele andma direktorite ja ohvitseride (D&O) kindlustus et aidata neid isoleerida tõsise ohu eest.
  • CISO-d peaksid jääma oma armastatud valdkonna juurde ja võtma suurema vastutuse, mitte selle eest põgenema. Kuid nad peavad ka meeles pidama, et nende ülesanne on nõustada ja pakkuda juhatusele konteksti. Las teised teevad suuri kõnesid.
  • CISOd peaksid alati seadma esikohale läbipaistvuse ja avatuse, eriti reguleerivate asutuste puhul.
  • CISO-d peaksid olema teadlikud sellest, mida nad sisemiselt levitavad, ja tagama, et vaidlusalused otsused või C-komplekti taotlused registreeritakse alati kirjalikult.

Uue rolli leidmisel peaksid CISOd palkama isikliku advokaadi, kes juhiks nende tulevase lepingu üksikasjalikult läbi.

Küberjulgeolekustrateegia optimeerimiseks peaksid juhatused alustama CISO rolli ümberhindamisest. Järgmine samm on tagada, et seda rolli täitval küberjulgeoleku professionaalil oleks piisavalt tuge ja piisavat tasu, et ta soovib sinna jääda.

Ajatempel:

Veel alates Me elame turvaliselt