비즈니스 보안

과중한 업무량과 사고에 대한 개인의 책임은 보안 리더에게 큰 타격을 주므로 많은 보안 리더가 출구를 찾습니다. 이는 기업 사이버 방어에 무엇을 의미합니까?

필 먼캐스터

2월 08 2024
 • 
,
5 분. 읽다

사이버보안이 드디어 이사회 차원의 문제가 되다. 전략적 의사 결정에서 사이버 위험 관리의 역할이 점점 더 중요해지고 있다는 점을 고려하면 이는 당연한 일입니다. 사이버 위험은 근본적으로 다음과 같은 가능성이 있는 핵심 비즈니스 위험입니다. 조직을 무너뜨리다. 확실히 그 뒤에 생각이 있어요 새로운 규제 규칙 미국에서. 

그러나 그 중요성을 인식함으로써 이사회와 규제 기관은 CISO에게 적절한 인정과 보상을 제공하지 않고도 CISO에게 더 많은 압력을 가하고 있습니다. 그 결과 스트레스, 탈진, 불만이 급증합니다. CISO의 75분의 XNUMX(XNUMX%) ~라고한다 64년 전보다 10% 포인트 증가한 변화 가능성이 있습니다. 그리고 XNUMX%가 자신의 역할에 만족해 XNUMX% 감소했습니다.

이러한 과제는 조직 내 사이버 보안에 심각한 영향을 미칩니다. 이를 해결하는 것이 시급한 우선순위가 되어야 합니다.

점점 더 스트레스를 받는 역할

CISO는 항상 스트레스가 많은 직업을 가지고 있습니다. 최근 드라이버 중에는 다음이 포함됩니다.

• 급증 사이버 위협 수준, 이로 인해 많은 조직이 지속적인 소방 모드에 놓이게 됩니다.
• 산업별 기술 부족 핵심 팀의 인력 부족
• 증가하는 회의실 수요로 인한 과도한 업무량
• 적절한 자원과 자금이 부족함
• CISO가 장시간 근무하고 휴일을 취소해야 하는 업무량
• 기업의 영역을 지속적으로 확장하는 디지털 트랜스포메이션 사이버 공격 표면
• 해마다 계속해서 증가하는 규정 준수 요구 사항

글로벌 IT 및 보안 리더의 24분의 XNUMX(XNUMX%)이 인정했다 스트레스를 완화하기 위해 자가 치료를 합니다. 증가하는 스트레스 수준은 소진 및/또는 조기 퇴직의 가능성을 증가시킬 뿐만 아니라 잘못된 의사 결정으로 이어질 수 있습니다. 이 연구, 예를 들어) 인지 능력과 합리적으로 사고하는 능력에도 영향을 미칩니다. 실제로 앞으로 스트레스가 많은 날에 대한 예상조차도 인지에 영향을 미칠 수 있다고 제안되었습니다. CISO의 약 65/XNUMX(XNUMX%) 들이다 업무 관련 스트레스로 인해 업무 수행 능력이 손상되었다는 것입니다.

정밀 조사로 인해 CISO에 추가 압력이 가해짐

이러한 스트레스 기준 외에도 최근 몇 달 동안 추가 규제, 법률 및 이사회 조사가 이루어졌습니다. 최근 세 가지 사건은 유익합니다.

• May 2023: 전 우버 CSO, 조 설리반은 형을 선고받았다 2016년 대규모 위반 사건을 은폐하려던 그의 역할과 관련하여 두 건의 중범죄로 유죄 판결을 받은 후 XNUMX년의 집행유예를 선고받았습니다. 지지자들은 그가 당시 CEO였던 Travis Kalanick과 Uber 사내 변호사 Craig Clark에 의해 희생양이 되었다고 주장합니다. 설명하는 설리반 Kalanick이 논란의 여지가 있는 해커들에게 100,000만 달러를 지불하는 것을 승인했다는 것입니다.
• 10월 2023 : 처음에는 SEC, SolarWinds CISO에 기소 회사의 보안 관행을 과장하면서 사이버 위험을 경시하거나 공개하지 않은 Timothy Brown. 이 불만 사항은 브라운이 작성한 여러 내부 논평을 언급하며 그가 회사 내에서 이러한 심각한 우려 사항을 해결하거나 제기하지 못했다고 주장합니다.
• 12월 2023 : 새로운 SEC 보고 규칙 상장 기업은 중요성 결정 후 영업일 기준 4일 이내에 "중요한" 사이버 사고를 보고해야 합니다. 또한 기업은 위험과 사고의 영향을 평가, 식별 및 관리하기 위한 프로세스를 매년 설명해야 합니다. 그리고 사이버 위험에 대한 이사회의 감독과 그러한 위험을 평가하고 관리하는 데 대한 전문 지식을 자세히 설명해야 합니다.

규제 감독이 구축되고 있는 곳은 미국에서만이 아닙니다. 2년 2024월까지 EU 회원국 법률로 전환될 예정인 새로운 NISXNUMX 지침은 이사회에 사이버 위험 관리 조치를 승인하고 그 구현을 감독하는 직접적인 책임을 부여합니다. 심각한 사고가 발생한 경우 과실이 발견된 경우 최고 경영진은 개인적으로 책임을 져야 할 수도 있습니다.

에 따르면 EST(Enterprise Strategy Group) 분석가 Jon Oltsik, 이러한 움직임이 CISO에 가하는 압력이 증가함에 따라 위협에 대응하고 사이버 위험을 관리하는 핵심 업무가 더욱 어려워지고 있습니다. 최근 ESG 연구에 따르면 이사회와의 협력, 규정 준수 감독, 예산 관리 등의 업무가 CISO 역할을 기술 중심에서 비즈니스 중심으로 전환하고 있는 것으로 나타났습니다. 동시에 디지털 혁신과 비즈니스 성공을 뒷받침하는 IT에 대한 의존도가 점점 커지고 있습니다. 설문 조사에 따르면 CISO의 65%가 스트레스로 인해 직무를 그만두는 것을 고려했다고 합니다.

CISO 및 이사회를 위한 시사점

요점은 CISO가 업무량을 처리하는 데 어려움을 겪고 규제 보복과 심지어 자신의 행동에 대한 형사 책임까지 두려워하는 경우 일상적으로 더 나쁜 결정을 내릴 가능성이 있다는 것입니다. 많은 사람들이 업계를 떠날 수도 있습니다. 이는 이미 해당 부문에 매우 부정적인 영향을 미칠 것입니다. 기술 부족으로 어려움을 겪고 있음.

하지만 꼭 이렇게 될 필요는 없습니다. 상황을 완화하기 위해 이사회와 CISO 모두 할 수 있는 일이 있습니다. 이를 통해 방법을 찾는 것이 두 사람 모두에게 최선의 이익입니다. 다음을 고려하세요:

• 이사회는 CISO의 정신 건강, 업무량, 자원 및 보고 구조를 평가하여 효율성을 최적화해야 합니다. 높은 감원률은 정규직 CISO가 없으면 긴 격차로 이어질 수 있으며, 이는 팀의 사기를 저하시키고 보안 전략에 영향을 미칩니다.
• 이사회는 현재 CISO의 역할에 수반되는 증가된 위험에 맞춰 CISO에게 보상을 제공해야 합니다.
• 가능하면 CEO에게 직접 보고하는 등 정기적인 이사회-CISO 참여가 필수적입니다. 이는 둘 사이의 의사소통을 개선하고 CISO의 책임에 따른 지위를 높이는 데 도움이 될 것입니다.
• 이사회는 CISO에게 다음을 제공해야 합니다. 이사 및 임원(D&O) 보험 심각한 위험으로부터 그들을 보호하는 데 도움이 됩니다.
• CISO는 자신이 좋아하는 업계에 충실해야 하며, 거기서 도망치기보다는 더 큰 책임을 받아들여야 합니다. 그러나 그들은 또한 자신의 역할이 이사회에 조언하고 상황을 제공하는 것임을 기억해야 합니다. 다른 사람들이 큰 결정을 내리도록 하십시오.
• CISO는 특히 규제 기관의 투명성과 개방성을 항상 우선시해야 합니다.
• CISO는 내부적으로 유통되는 내용에 주의를 기울여야 하며 최고 경영진의 논쟁의 여지가 있는 결정이나 요청이 항상 서면으로 기록되도록 해야 합니다.

새로운 역할을 찾을 때 CISO는 개인 변호사를 고용하여 향후 계약을 자세히 진행해야 합니다.

사이버 보안 전략을 최적화하려면 이사회는 원하는 CISO 역할을 재평가하는 것부터 시작해야 합니다. 다음 단계는 해당 역할을 맡은 사이버 보안 전문가가 그 자리에 머물고 싶어할 만큼 충분한 지원과 충분한 보상을 받도록 하는 것입니다.