Banul se oprește aici: mizele sunt mari pentru CISO

Securitatea afacerilor

Volumul mare de muncă și spectrul răspunderii personale pentru incidente afectează liderii de securitate, atât de mult încât mulți dintre ei caută ieșirile. Ce înseamnă acest lucru pentru apărarea cibernetică corporativă?

Phil Muncaster

08 2024 februarie  •  , 5 min. citit

Securitatea cibernetică este în sfârșit devenind o problemă la nivel de consiliu. Așa ar trebui să fie, având în vedere rolul din ce în ce mai important pe care managementul riscului cibernetic îl joacă în luarea deciziilor strategice. Riscul cibernetic este în esență un risc de bază de afaceri cu potențialul de a face sau rupe o organizație. Aceasta este cu siguranță gândirea din spate noi reguli de reglementare in Statele Unite ale Americii. 

Dar recunoscând importanța acesteia, consiliile de administrație și autoritățile de reglementare exercită și mai multă presiune asupra CISO, fără a le oferi neapărat recunoașterea și recompensă adecvată. Rezultatul: stres în creștere, epuizare și nemulțumire. Trei sferturi (75%) dintre CISO se spune a fi deschis la o schimbare, în creștere cu opt puncte procentuale față de un an în urmă. Și 64% sunt mulțumiți de rolul lor, în scădere cu 10%.

Aceste provocări au implicații serioase pentru securitatea cibernetică în cadrul organizațiilor. Abordarea acestora ar trebui să fie o prioritate urgentă.

Un rol din ce în ce mai stresant

CISO au avut întotdeauna o meserie stresantă. Printre șoferii recent se numără:

• galopante niveluri de amenințări cibernetice, care lasă multe organizații în regim continuu de stingere a incendiilor
• Industrie deficit de competențe care lasă echipele cheie cu personal insuficient
• Volumul de muncă excesiv din cauza solicitărilor tot mai mari ale sălii de consiliu
• Lipsa resurselor și a finanțării adecvate
• Volumul de muncă care îi obligă pe CISO să lucreze ore lungi și să anuleze vacanțele
• Transformarea digitală, care continuă să extindă corporația suprafață de atac cibernetic
• Cerințe de conformitate care continuă să crească cu fiecare an care trece

Nu este surprinzător faptul că un sfert (24%) dintre liderii mondiali în IT și securitate au admis la automedicație pentru a atenua stresul. Creșterea nivelului de stres nu mărește doar probabilitatea de burnout și/sau pensionare anticipată, ci ar putea duce la o luare proastă a deciziilor (după cum s-a observat de acest studiu, de exemplu), precum și abilitățile cognitive de impact și capacitatea de a gândi rațional. Într-adevăr, s-a sugerat că chiar și anticiparea unei zile stresante care urmează poate avea un impact asupra cogniției. Aproximativ două treimi (65%) dintre CISO admite că stresul legat de locul de muncă le-a compromis capacitatea de a performa la locul de muncă.

Controlul exercită o presiune suplimentară CISO

Pe lângă această situație de bază a stresului a venit și controlul suplimentar de reglementare, juridic și consiliu în ultimele luni. Trei evenimente recente sunt instructive:

• May 2023: Fost OSC Uber, Joe Sullivan a fost condamnat la trei ani de încercare după ce a fost găsit vinovat de două infracțiuni legate de rolul său într-o încercare de mușamalizare a unei mega-încălcări din 2016. Susținătorii susțin că a fost țap ispășitor de către CEO-ul de atunci, Travis Kalanick, și de avocatul Uber, Craig Clark, cu Sullivan explică că Kalanick a aprobat controversata lui plată de 100,000 de dolari către hackeri.
• Octombrie 2023: Într-o premieră, SEC a taxat CISO SolarWinds Timothy Brown pentru că a minimizat sau nu a dezvăluit riscul cibernetic în timp ce a exagerat practicile de securitate ale firmei. Plângerea se referă la mai multe comentarii interne făcute de Brown și susține că nu a reușit să rezolve sau să ridice aceste preocupări grave în cadrul companiei.
• Decembrie 2023: Noi reguli de raportare SEC intra în vigoare, solicitând firmelor listate public să raporteze incidentele cibernetice „materiale” în termen de patru zile lucrătoare de la determinarea semnificației. Firmele vor trebui, de asemenea, să-și descrie anual procesele pentru evaluarea, identificarea și gestionarea riscurilor și a impactului oricăror incidente. Și vor trebui să detalieze supravegherea consiliului de administrație a riscului cibernetic și expertiza acestuia în evaluarea și gestionarea unui astfel de risc.

Nu doar în SUA se dezvoltă supravegherea reglementară. Noua directivă NIS2, care urmează să fie transpusă în legislația statelor membre UE până în octombrie 2024, pune responsabilitatea directă a consiliului de administrație de a aproba măsurile de management al riscului cibernetic și de a supraveghea implementarea acestora. Membrii C-suite pot fi, de asemenea, trași la răspundere personală dacă sunt găsiți neglijenți în cazurile de incidente grave.

În conformitate cu Jon Oltsik, analistul Enterprise Strategy Group (EST)., presiunea din ce în ce mai mare pe care o pun astfel de mișcări asupra CISO face ca sarcina lor principală de a răspunde la amenințări și de a gestiona riscul cibernetic mai dificilă. Un studiu ESG recent dezvăluie că sarcini precum lucrul cu consiliul de administrație, supravegherea conformității cu reglementările și gestionarea unui buget transformă rolul CISO de la unul care este tehnic la cel orientat spre afaceri. În același timp, dependența tot mai mare de IT pentru a alimenta transformarea digitală și succesul în afaceri a devenit copleșitoare. Sondajul susține că 65% dintre CISO s-au gândit să-și părăsească rolul din cauza stresului.

Recomandări pentru CISO și consilii

Concluzia este că, dacă CISO se luptă să facă față volumului de muncă și de teama represaliilor de reglementare și chiar a răspunderii penale pentru acțiunile lor, este probabil să ia decizii mai rele de zi cu zi. Mulți pot chiar să părăsească industria. Acest lucru ar avea deja un impact extrem de malign asupra unui sector se luptă cu deficitul de competențe.

Dar nu trebuie să fie așa. Există lucruri pe care atât consiliile de administrație, cât și CISO-urile lor le pot face pentru a atenua situația. Este în interesul lor amândoi să găsească o cale prin asta. Luați în considerare următoarele:

• Consiliile ar trebui să evalueze sănătatea mintală, volumul de muncă, resursele și structurile de raportare ale CISO pentru a le optimiza eficacitatea. Ratele ridicate de uzură pot duce la lacune lungi fără un CISO cu normă întreagă, ceea ce demotivează echipele și afectează strategia de securitate.
• Consiliile ar trebui să-și remunereze CISO în conformitate cu riscul ridicat pe care rolul lor îl implică acum.
• Angajamentul regulat al consiliului de administrație și al CISO este esențial, cu linii de raportare directă către CEO, dacă este posibil. Acest lucru va ajuta la îmbunătățirea comunicării dintre cei doi și la ridicarea poziției CISO în conformitate cu responsabilitățile lor.
• Consiliile ar trebui să furnizeze CISO-urilor lor asigurare pentru directori și ofițeri (D&O). pentru a le ajuta la izolarea de riscuri grave.
• CISO ar trebui să rămână cu industria pe care o iubesc și să îmbrățișeze o responsabilitate mai mare decât să fugă de ea. Dar trebuie să-și amintească și că rolul lor este de a consilia și de a oferi context pentru consiliu. Lasă-i pe alții să facă apeluri mari.
• CISO ar trebui să acorde întotdeauna prioritate transparenței și deschiderii, în special cu autoritățile de reglementare.
• CISO ar trebui să fie atenți la ceea ce circulă în interior și să se asigure că deciziile litigioase sau solicitările din partea C-suite sunt întotdeauna înregistrate în scris.

Atunci când găsesc un nou rol, CISO ar trebui să angajeze un avocat personal care să-și deruleze în detaliu viitorul contract.

Pentru a optimiza strategia de securitate cibernetică, consiliile ar trebui să înceapă prin a reevalua ceea ce doresc să fie rolul CISO. Următorul pas este să vă asigurați că profesionistul în securitate cibernetică în acel rol are suficient sprijin și suficientă recompensă pentru a dori să rămână acolo.