Posted by 
Aproape două treimi (65%) dintre responsabilii cu securitatea cibernetică dintr-o companie (CISO - Chief Information Security Officer) au luat în considerare posibilitatea de a părăsi postul din cauza presiunii la locul de muncă, iar circa un sfert (24%) dintre aceştia au recunoscut că folosesc automedicaţia pentru a atenua stresul, arată un studiu, publicat recent într-un articol de specialitate, pe blogul din România al unui producător de soluţii antivirus.
"Volumele mari de muncă şi spectrul răspunderii personale în cazul incidentelor îi afectează în aşa măsură pe angajaţii din domeniul securităţii, încât mulţi dintre ei caută să schimbe postul (...) Securitatea cibernetică devine în sfârşit un subiect dezbătut la nivelul consiliului de administraţie al companiilor. Aşa cum ar trebui să fie, având în vedere rolul tot mai important pe care îl joacă gestionarea riscurilor cibernetice în luarea deciziilor strategice. Riscul cibernetic este, în mod fundamental, un risc de bază al business-ului, cu potenţialul de a propulsa sau de a dărâma o organizaţie. Aceasta este cu siguranţă principiul care stă la baza noilor norme de reglementare din SUA. Dar, recunoscând importanţa sa, echipa de management şi autorităţile de reglementare exercită o presiune mai mare asupra responsabililor CISO (Chief Information Security Officer), fără a le oferi neapărat recunoaşterea şi recompensarea corespunzătoare. Rezultatul este previzibil: angajaţii în rol de CISO înregistrează o creştere a nivelului de stres, a epuizării şi a nemulţumirii", scrie Phil Muncaster, expert Eset.
Potrivit unei cercetări de specialitate realizată de Eset, 75% dintre directorii CISO afirmă că sunt deschişi la o schimbare, în creştere cu 8% faţă de anul 2023. De asemenea, aproape două treimi (64%) s-au declarat mulţumiţi de rolul lor, în scădere cu 10%, de la un an la altul.
Cu toate acestea, responsabilii CISO susţin că au avut întotdeauna o muncă stresantă, iar printre factorii determinanţi se află: nivelul crescut al ameninţărilor cibernetice, lucru care face ca multe companii să se afle într-o stare de alertă continuă; volumul de muncă excesiv determinat de cerinţele tot mai mari din partea managementului; lipsa resurselor şi a finanţării adecvate; volumul de lucru care îi obligă pe angajaţii în rol de CISO să lucreze ore suplimentare şi să-şi anuleze concediile; cerinţe de conformitate care continuă să crească cu fiecare an care trece.
În acest sens, circa un sfert (24%) dintre liderii globali din domeniul IT şi al securităţii au recunoscut că folosesc automedicaţia pentru a atenua stresul, în timp ce aproximativ două treimi (65%) dintre CISO recunosc că stresul legat de locul de muncă le-a compromis capacitatea de a performa la locul de muncă. "Pe lângă acest nivel de stres de bază, în ultimele luni au apărut controale suplimentare din partea autorităţilor de reglementare, a autorităţilor juridice şi a consiliilor de administraţie", notează sursa citată.
Noua directivă NIS2, care urmează să fie transpusă în legislaţia statelor-membre ale UE până în octombrie 2024, conferă Consiliului de Administraţie responsabilitatea directă de a aproba măsurile de gestionare a riscurilor cibernetice şi de a supraveghea punerea lor în aplicare. De asemenea, membrii conducerii pot fi traşi la răspundere personal dacă sunt găsiţi vinovaţi de neglijenţă în cazul unor incidente grave.
Analistul Jon Oltsik, din cadrul Enterprise Strategy Group (EST), avertizează asupra faptului că presiunea tot mai mare pe care astfel de măsuri o exercită asupra celor cu atribuţii de CISO face ca sarcina lor principală de a răspunde la ameninţări şi de a gestiona riscurile cibernetice să devină mai dificilă.
Un studiu recent al ESG, citat de Eset, arată că sarcini, precum colaborarea cu Consiliul de Administraţie, supravegherea conformităţii cu reglementările şi gestionarea unui buget, transformă rolul CISO dintr-unul tehnic într-unul orientat spre business. În acelaşi timp, 65% dintre responsabilii cu securitatea cibernetică au luat în considerare posibilitatea de a părăsi rolul din cauza stresului inerent.
"Concluzia este că, dacă responsabilii CISO se luptă să facă faţă volumului de muncă şi se tem de represalii şi de răspunderea penală pentru acţiunile lor, este probabil ca aceştia să ia decizii zilnice mai proaste. Mulţi ar putea chiar să părăsească industria. Acest lucru ar avea un impact extrem de negativ asupra unui sector care deja se luptă cu lipsa personalului specializat. Dar nu trebuie să fie aşa. Există lucruri pe care atât consiliile de administraţie, cât şi personalul CISO le pot face pentru a atenua situaţia. Consiliile de Administraţie ar trebui să evalueze sănătatea mentală, volumul de muncă, resursele şi structurile de raportare ale personalului cu rol de CISO pentru a le optimiza eficienţa (...) Echipa de management ar trebui să remunereze angajaţii CISO în concordanţă cu riscul ridicat pe care îl înglobează acum rolul lor (...) Consiliile de Administraţie ar trebui să le ofere directorilor şi personalului CISO o asigurare de tip D&O (Directors and Officers) pentru a-i proteja de riscuri grave", menţionează Muncaster.
139