Плинність серед CISO (Chief Information security Officer, Директор з інформаційної безпеки) — це прихована загроза у кібербезпеці. Основні ініціативи або впровадження стратегій та програм безпеки можуть тривати довше, ніж резидентство одного CISO.
Середній термін перебування на посаді Директора з інформаційної безпеки від 18 до 24 місяців. Цього ледве вистачить, щоб зорієнтуватися на новому місці. Виникає питання: чому у цій сфері така плинність кадрів та як це впливає на кібербезпеку підприємства?
1. Ефект цапа-відбувайла
Тенденція, що CISO стає цапом-відбувайлом, коли виникають інциденти безпеки, досить поширена і постійно зростає. Це може виглядати приблизно так: «Нас зламали під вашим наглядом, тому ми вас звинуватимо і «відпустимо».
Ефект цапа-відбувайла є реальною загрозою для CISO — вони можуть стикатися з інцидентами поза їхнім контролем, навіть якщо намагаються докласти всіх зусиль і вчинити правильно попри протиріччя й тиск.
За словами Діпті Гопал, головної аналітикині Gartner, фахівці з кібербезпеки зазвичай піддаються «надмірному рівню стресу». Для CISO та інших менеджерів із безпеки психологічні та емоційні наслідки ролі цапа-відбувайла не лише спонукають багатьох споглядати в бік іншого місця роботи чи іншої професії, а також впливає на їхню ефективність, якщо вони залишаються.
«CISO стоять на захисті, тож єдиний можливий результат — це бути зламаним або ні», — каже Гопал. «Цей психологічний фактор безпосередньо впливає на якість рішень і результативність керівників кібербезпеки та їхніх команд».
Перетворення CISO на цапа-відбувайла є звичною, але не обов’язковою реакцією на інциденти кібербезпеки. Агнідіпта Саракар, віце-президент і CISO у ColorTokens, зазначає: «Зрілі організації зазвичай не звинувачують CISO, якщо програма безпеки насправді недостатньо хороша». Але менш зрілі організації зі слабшими програмами або недбалим менеджментом легко створюють ефект цапа-відбувайла.
Цей ефект «цапа-відбувайла» є основною причиною плинності кадрів CISO, незалежно від того, чи це спровоковано урядом, бізнес-лідерами, які не бажають брати на себе провину, або CISO, які знають, що у них недостатньо ресурсів, щоб запобігти порушенню та рухатися далі до того, як станеться неминуче.
2. Відсутність підтримки керівництва
Визнання членами правління важливості CISO та кібербезпеки повільно зростає, але це ще далеко від ідеалу. Опитування BSS у серпні 2023 року серед 150 осіб, які приймають рішення у сфері безпеки Великобританії, показало, що лише 28% вважають, що їх цінують; 22% брали активну участь у розширеній бізнес-стратегії; і лише 9% сказали, що кібербезпека завжди була в трьох пріоритетах на порядку денному правління.
У світі є багато компаній, де кібербезпека у пріоритеті та підтримується, але вони, як правило, належать до більших і зріліших організацій. Залишається велика кількість нових і менших компаній, які часто надають перевагу розвитку, а не безпеці.
Результатом часто є відсутність підтримки та ресурсів для CISO для впровадження засобів контролю кібербезпеки, необхідних для захисту компанії. Таким чином, відсутність підтримки з боку ради директорів часто призводить до того, що CISO шукають нову, більш прийнятну посаду, чи то через спробу уникнути долі цапа-відбувайла за неминучі порушення або просте розчарування через нездатність добре виконувати свою роботу.
3. Стрес і вигорання
Стрес є ще однією причиною плинності кадрів CISO. Це не стрес сам по собі, а сукупне психічне та емоційне виснаження, спричинене кількома, різними та постійними стресовими факторами: вигорання.
Вигорання може статися раптово. CISO може думати, що він чи вона ефективно справляються зі стресом, але одна остання крапля може раптово й неочікувано переповнити чашу. Вигорання може спричинити фізичний та/або психічний колапс. Постраждалим може знадобитися взяти тривалий тайм-аут, перейти на менш стресову посаду або залишити галузь взагалі. Деякі CISO переходять у консалтинг, особливо коли вони мають досвід, але вони не хочуть операційної втоми.
У нещодавньому опитуванні Salt Security наведено 6 найпоширеніших особистих стресових факторів, з якими стикаються CISO. Примітно, що загроза особистого судового розгляду є №1 (48%). Лише 1% CISO не відчувають, що стикаються з особистими проблемами.
Ефект цапа-відбувайла та відсутність адекватної підтримки в раді директорів явно сприяють вигоранню CISO, а також перевтома та розчарування. Успіх у кібербезпеці — це коли нічого не відбувається: по суті, успішний директор з інформаційної безпеки може гнути спину і не мати жодного натяку на успіх.
4. Наступний великий виклик
Не завжди плинність серед CISO викликає складність роботи. Є багато CISO, які просто дуже добре справляються зі своєю роботою і можуть впевнено долати всі труднощі. Таким людям подобаються виклики та кар’єрне зростання. Складність полягає в тому, що просування по службі в межах однієї організації, швидше за все, буде складним. Єдиний варіант — прийняти новий виклик в іншій організації з потенційно більшим бюджетом, більшою командою, більшою відповідальністю, більшими повноваженнями та — ймовірно — вищою винагородою та перевагами. Такі CISO просто переросли свою існуючу позицію і потребують наступного великого виклику.
Рішення
Існує лише одне реальне рішення, щоб зупинити конвеєр CISO: кращі комунікації. Правління повинні навчитися любити своїх CISO (що включає повагу, чуйність, ресурси та підтримку); CISO повинні краще розуміти вимоги бізнесу та краще доносити потреби кібербезпеки до керівництва.
Повага та підтримка виходять за рамки простої виплати завищених зарплат (хоча адекватна компенсація є важливою). Ви не можете купити ентузіазм – він повинен бути підкріплений повагою та підтримкою. Перш за все, слід усунути страх бути цапом-відбувайлом. CISO рідко критикують один одного. Коли порушення відбувається в іншій компанії, загальне відчуття таке: «Дякувати богу, цей раз пронесло». Від зламів неможливо застрахуватися. CISO мають бути впевнені, що від них очікують мінімізації та усунення порушень, і якщо одного разу успішний елітний хакер успішно скористається експлойтом нульового дня, це не призведе до звільнення.
Джерело: Securityweek
