چرا افسران ارشد امنیتی اینقدر کار را رها می کنند؟


آیا وقت آن است که به جای دیگری نگاه کنیم؟

همه می دانند که امنیت سایبری یک حرفه گرم است و این افسران ارشد امنیتی (یا افسران ارشد امنیت اطلاعات در بسیاری از سازمان ها) هستند که حفاظت از امنیت آنلاین را رهبری می کنند. بنابراین چگونه می توان وضعیت فعلی را توضیح داد که طبق گزارش مجله Cybercrime حدود 24 درصد از Fortune 500 CISO فقط یک سال دوام دارد؟

به گفته ZDNet ، اگر عمیقاً حفاری کنید ، میانگین CISO فقط 26 ماه است.

اما چرا؟ چه اتفاقی می افتد؟ یا چه اتفاقی نمی افتد؟

البته وضعیت هر رهبر امنیتی منحصر به فرد است. هنوز هم ، مطمئناً روندهای نوظهوری وجود دارد که به بیش از یک دهه قبل برمی گردد. بنابراین رایج ترین الگوها ، داستان ها ، حوادث و مشکلات روابط کدامند؟

حکمت سنتی می گوید دلایلی که CISO کار خود را از دست می دهد این است که وقتی نقض داده رخ می دهد ، بهترین رهبر سایبری به گوسفند تبدیل می شود. در واقع ، این مجله CSO در این مقاله هفت حادثه امنیتی که هزینه کار آنها برای CISO است بیان شده است: «طبق گزارش وضعیت برنامه کاربردی وب Radware 2018 ، 23 درصد از شرکت ها اخراج مربوط به حملات برنامه را گزارش می دهند. به احتمال زیاد شرکت های آمریکایی می گویند پیمانکاران پس از یک حادثه آزاد شدند ، همچنین شرکت های بخش فناوری یا خدمات مالی. “

لیستی از حوادثی که عناوین جالب توجه را شامل می شود ، موضوعات مربوط به Capital One ، Equifax ، Uber ، Facebook ، Target ، JP Morgan و دانشگاه ایالتی سانفرانسیسکو است. قطعاً نمونه های دیگری از این موارد در دولت های فدرال ، ایالت و محلی نیز وجود دارد.

همان مقاله می گوید که اگر شغل خود را حفظ کنید ، حوادث امنیتی می تواند چیز خوبی باشد. پس از یک حادثه امنیتی بزرگ ، تیم اغلب منابع و پشتیبانی را برای عیب یابی دریافت می کند. همچنین ، استرس معمولاً با گذشت زمان کمتر می شود.

با این حال ، دانستن تعداد واقعی نقض داده ها منجر به اخراج از CISO دشوار است ، زیرا بیشتر این داده ها در نظرسنجی ها گزارش می شوند ، و بسیاری از جزئیات هرگز گزارش نمی شوند. به عنوان مثال ، “طبق گزارش IDC 2015 ، كمتر از 1٪ CISO ها واقعاً اخراج شده اند ، گرچه 12٪ معتقدند كه به علت نقض اخراج خواهند شد.”

دیگر منابع

، از طریق مصاحبه های ناشناس ، “مواردی را به یاد بیاورید که CISO شرکت آنها به دلیل گزارش ضعیف ، بیش از حد بودجه ، عدم رعایت استراتژی های تجاری یا حتی انتشار FUD (ترس ، عدم اطمینان و شک) از کار اخراج شده است – به جای ارائه راه حل های عملی همین مشکلات . همانطور که یک CIO متذکر شد ، این مورد CISO بود ، “که مکالمه را انجام می دهد اما راه نمی رود.”

دیدگاه های دیگر

چند سال پیش، سیاتل تایمز گزارش داد که “در حالی که هک ها در حال پریدن هستند ، سگ های شکاری فنی اولین کسانی هستند که اخراج می شوند و سپس دوباره استخدام می شوند”:

چیس کانینگام ، تحلیلگر امنیت و ریسک در فورستر ، یک شرکت تحقیقات فناوری در کمبریج ، ماساچوست ، گفت: “CISO بودن به معنای صیقل دادن به آن رزومه است.”

“این تنها شغل سطح اجرایی است که می توانم فکر کنم در جایی که شما 100 درصد مسئول شکست های قریب الوقوع هستید ، اگرچه این یک تضمین است که [they] کانینگام گفت:

برای کسانی که گرفتار موفقیت های اصلی شده اند ، امنیت شغلی می تواند بی ثبات باشد. اما کمبود کارشناسان امنیت سایبری به حدی است که تأمین شغل دیگر تقریباً تضمین شده است. کانینگام گفت: “یافتن شغل دیگر کار سختی نیست ، زیرا تعداد زیادی از آنها وجود دارد” ، و صادقانه بگویم ، اگر تخلفی داشته باشید “خوب” است ، اما مطمئناً بدون درد نیست.

در این پست LinkedIn ، سایمون لگ ، CISO در Hastings Direct ، به طور قاطع اظهار داشت که CISO باید انتظار داشته باشد که اخراج شود:

شما ممکن است موافق یا مخالف باشید ، و ممکن است فکر کنید که گفته ها صریح و بدون جزئیات است ، اما هک ، بیایید آنجا را آویزان کنیم … من فکر می کنم به عنوان CISO یا واقعاً مدیر ارشد اطلاعات ، شما باید چهار چیز اساسی و اساسی بیان کنید:

  • واقعاً خطرات سازمان خود و مکانی که در مقابل این خطرات می ایستید را درک کنید
  • هیئت مدیره ، مدیریت و افراد سازمان را آموزش دهید
  • راهکارها و گزینه های عملی را به هیئت مدیره ، مدیریت و افراد سازمان ارائه دهید
  • اگر فکر می کنید در هنگام مقابله با مشکلات و پیشرفت ، مانعی غیر ضروری وجود دارد ، میز را بشکنید و آن را محکم بزنید.

به نظر من ، در صورت وقوع یک حادثه یا واقعه بزرگ ، اگر در هر یک از موارد بالا کوتاهی کنید ، نه تنها نباید انتظار داشته باشید که از کار اخراج شوید ، بلکه باید دستان خود را بالا برده و مسئولیت آن را بر عهده بگیرید. اگر در واقع تمام موارد فوق را انجام داده باشید و در عین حال واقعه یا حادثه قابل توجهی اتفاق افتاده باشد … واقعیت این است که شما هنوز هم می توانید انتظار داشته باشید که از کار اخراج شوید یا حداقل فرصت اخراج را بپذیرید.

و یک چیز دیگر: Alert Software پنج دلیل مهم برای اخراج CIO ها را به ما ارائه می دهد. در بالای این لیست موارد نقض امنیت وجود دارد. این داستان اتفاقی است که برای مدیرعامل سابق یوتا ، استیو فلچر ، که در آن زمان یک مدیر ارشد با جوایز زیادی بود ، رخ داده است.

چرا اکنون به این موضوع پرداخته شده است؟

ممکن است از خود بپرسید: چرا اکنون دن لورمن به این موضوع اشاره کرده است؟

نه ، من اخراج نشدم. بله ، من هنوز یک CSO و استراتژیست ارشد مشاور امنیت هستم.

اما من دیده ام که چندین دوست ، همکار محترم و کارشناسان معتمد صنعت CISO و CSO در سال گذشته پیشروی کرده اند ، قبل از زمانی که به نظر من “مطلوب به نظر می رسید”.

بدون ورود به اطلاعات شخصی ، می خواهم چند دلیل برای حرکت CISO به جلو را ذکر کنم. من در حال حاضر شاهد الگوهای تکراری در بخشهای دولتی و خصوصی هستم که فراتر از شکاف داده ها یا حوادثی با عنوان باج افزار است.

1. تغییر در مدیریت شرکت یا دولت. زمانی بود که رهبران امنیتی آنقدر در رده بندی سازمانی بودند که فرماندار جدید ، شهردار ، مدیر ارشد مالی ، مدیر اجرایی ، مدیر ارشد اجرایی یا سایر CxO بندرت نقش CISO را لمس می کردند. دیگر نه.

مدیران امنیتی بیشتر و بیشتر در بالای نمودار سازمان گزارش می دهند – این یک چیز خوب است. با این حال ، هنگامی که این افراد تغییر می کنند (به هر دلیلی ، از جمله انتخابات ، عملکرد ضعیف یا گردش مالی طبیعی) ، رهبر جدید اغلب تیم خود را شامل می شود. بیشتر و بیشتر ، این تیم ها شامل یک CSO یا CISO مورد اعتماد هستند که برای رئیس جدید شناخته شده است. در برخی موارد ، مدیریت جدید یک سال یا بیشتر طول می کشد تا کل تیم جدید خود را سر کار بگذارد ، بنابراین پس از اتمام قرارداد فعلی با CISO ، دیگر تمدیدی وجود ندارد.

2. تفاوت در فلسفه امنیت فناوری ، از جمله منابع اختصاص یافته به امنیت سایبری. همانطور که بارها نوشته ام ، من هرگز ندیده ام که یک مدیرعامل گفته باشد (نه به صورت عمومی و نه به صورت خصوصی) “من از امنیت سایبری پشتیبانی نمی کنم”. این یک اشتباه بزرگ و یک حرکت پایان دهنده شغلی برای هر رهبر جدی اجرایی است. این نیز به عنوان نشانه ای از بی لیاقتی تلقی می شود ، تقریباً مانند گفتن ، “من به زمان اعتقاد ندارم.”

با این حال ، افراد باهوش CISO به سرعت متوجه می شوند که آیا رهبری آنها واقعاً جدی در محافظت از دارایی های دیجیتالی سازمان است یا خیر. آیا آنها به گفتگو می روند؟ آیا ما واقعاً از تلاش های خود پشتیبانی می کنیم؟ بودجه لازم و منابع دیگر را اختصاص دهید؟

رهبران صالح امنیتی می دانند که بدون حمایت واقعی همه چیز خوب پیش نخواهد رفت. اگر احساس کنند که مدیریت امنیت سایبری را جدی نمی گیرد ، برخی به محض فرصتی که می روند ، آنجا را ترک می کنند.

3. درگیری های شخصی. فراتر از دو نکته اول ، من چند CISO را می شناسم که فقط با رئیس خود کنار نمی آمدند ، بنابراین در نهایت آنها آنجا را ترک کردند. همانطور که بسیاری از مطالعات در زمینه نقشها و صنایع مختلف نشان می دهد ، بیشتر افراد روابط خود را از نظر رضایت شغلی در درجه اول قرار می دهند و روابط با مدیران در این لیست در درجه اول قرار دارند.

افکار نهایی

در سال 2018 ، من این مقاله را در مورد چگونگی ارزیابی (یا ارزیابی) رهبران امنیت و فناوری در طول زمان نوشتم. مقاله اصلی به روابط پیرامون CISO متمرکز است ، که البته تحت تأثیر حوادث و حوادث در محل کار در طول کار قرار دارند.

در سال 2019 ، من این مقاله را در مورد چگونگی دستیابی به انتظارات CISO غیرممکن نوشتم.

و با این وجود گردش مالی سازمانهای غیر دولتی و CISO ها هنوز به طرز نگران کننده ای بالا است – و بیشتر از بسیاری از دیگر نقش های رهبری فناوری است. همانطور که بسیاری اشاره کرده اند ، فرسودگی شغلی ، تعادل کار و زندگی ، استرس ، تغییر فضای سایبری ، روابط و بله ، نقض داده ها همه در چالش های پیش روی رهبران امنیتی نقش دارند.

البته سایر CISO پیشنهادات شغلی جدیدی دریافت می کنند که تحویل دادن آنها خیلی خوب است ، بنابراین به دلایل مثبت شغلی ترک می کنند که منافع مالی و مزایای دیگری به همراه دارد. با این وجود ، حتی یک “دلیل خوب برای ترک” می تواند منجر به مناقصه برای جنگ ها ، درگیری های قدرت داخلی ، جستجوی استعدادهای جهانی و ناامنی سازمانی شود که بر تیم های امنیتی تأثیر می گذارد. این همانند تغییرات در کارکنان و مدیریت ارشد است که می تواند تیم های ورزشی حرفه ای را تحت تأثیر قرار دهد.

و اشتباه نکنید ، طول عمر CISO در نهایت بر اثربخشی امنیت سایبری سازمانی تأثیر می گذارد. من امیدوارم که این تجزیه و تحلیل بتواند به نهادهای مدنی ، CISO و سایرین کمک کند قبل از اینکه نقش رهبری امنیتی بعدی خود را داشته باشند ، در مورد این عوامل فکر کنند.



Author: morteza

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *