Τσαντ Κλάιβερ, υπεύθυνος ψηφιακής ασφάλειας σε νοσοκομειακό σύστημα, περιγράφει την πίεση που καταλήγει σε εξάντληση, απώλεια μαλλιών και κρίσεις πανικού λόγω του συνεχούς άγχους της δουλειάς. Ο ρόλος του ως επικεφαλής ασφάλειας πληροφοριών τον έβαζε στο επίκεντρο κρίσεων οποιαδήποτε ώρα, αναλαμβάνοντας ευθύνες για διακοπές λειτουργίας και συμμόρφωση με κανόνες όπως ο HIPAA.
Καθημερινά λάμβανε κλήσεις εκτός ωραρίου και μηνύματα ακόμα και σε άδεια. Θυμάται να ξυπνά στις 3 τα ξημερώματα από κλήση γιατρού αγροτικού νοσοκομείου, λόγω διακοπής του διαδικτύου. Ο γιατρός αδυνατούσε να στείλει αποτελέσματα σάρωσης σε ακτινολόγο και ανέφερε χαρακτηριστικά: «Δεν γνωρίζω αν πρέπει να μεταφέρω τον ασθενή με ελικόπτερο ή να τον στείλω σπίτι». Ως κορυφαίος και μοναδικός υπάλληλος ασφαλείας, ο Κλάιβερ έφερε την ευθύνη.
Στρες για επικεφαλής ασφάλειας πληροφοριών
Το υπερβολικό άγχος ωθεί πολλούς CISO στην αποχώρηση, σημειώνει το Business Insider. Η συνήθης θητεία σε αυτή τη θέση υπολογίζεται μόλις σε 18 έως 26 μήνες, έναντι σχεδόν πέντε έτη που ισχύουν για άλλους διοικητικούς ρόλους, σύμφωνα με την έκθεση της ερευνητικής εταιρείας Cybersecurity Ventures. Επιπλέον, το μισό του κλάδου θεωρεί τον φόρτο εργασίας μη διαχειρίσιμο και σχεδόν το 70% δηλώνει ανοιχτό σε αλλαγή θέσης ή εγκατάλειψη του ρόλου εντός του επόμενου έτους, βάσει της έκθεσης της IANS.
Ο ρόλος γεφυρώνει την τεχνική πλευρά μιας επιχείρησης με τους επιχειρηματικούς στόχους, καλύπτοντας από τα οικονομικά μέχρι το ανθρώπινο δυναμικό και τις καθημερινές λειτουργίες. Τις τελευταίες τρεις δεκαετίες οι αρμοδιότητες έχουν διογκωθεί και πλέον οι επικεφαλής ασφαλείας πρέπει να ανταποκρίνονται σε αυξανόμενες κανονιστικές υποχρεώσεις και να ενημερώνουν διοικητικά συμβούλια που συχνά δεν κατανοούν την τεχνολογία.
Αυξανόμενες ευθύνες και απειλές
Παράλληλα, οι CISO καλούνται να αντιμετωπίσουν τις νέες απειλές που φέρνει η τεχνητή νοημοσύνη, αξιοποιώντας παράλληλα τα εργαλεία της για βελτίωση της αποδοτικότητας, ενώ φέρουν προσωπική ευθύνη για τυχόν παραβιάσεις ασφαλείας. Η έλλειψη πόρων συχνά δεν ακολουθεί την αύξηση κινδύνων.
Η έλλειψη εξειδικευμένων στελεχών επιτείνει το πρόβλημα: οι CISO σε μεγάλες επιχειρήσεις δέχονται έντονες πιέσεις, ενώ μικρότερες εταιρείες δυσκολεύονται να βρουν κατάλληλο προσωπικό. Η Cybersecurity Ventures εκτιμά ότι οι απώλειες από το κυβερνοέγκλημα θα διπλασιαστούν, από 6 τρισεκατομμύρια δολάρια το 2021 σε 12 τρισεκατομμύρια δολάρια το 2031, αυξάνοντας τους κινδύνους που πρέπει να αποσοβηθούν.
Έλλειψη ταλέντου και ρίσκο
Οι CISO καλούνται να αναλάβουν επιχειρησιακό και στρατηγικό ρόλο, να διοικούν ανθρώπους και να διαχειρίζονται επιχειρηματικό ρίσκο. Σύμφωνα με όσα αναφέρει ο Μάρτιν Γουίτγουορθ, συνταξιούχος CISO, η κατάσταση αυτή αρκεί για να εξαντλήσει οποιονδήποτε.
Ο πρώτος CISO διορίστηκε στα μέσα της δεκαετίας του 1990 στην Citicorp μετά από κυβερνοεπίθεση. Σήμερα περίπου 35.000 άνθρωποι εργάζονται σε αυτή τη θέση, πολλές φορές σε κατώτερες βαθμίδες της διοίκησης. Μικρότερες επιχειρήσεις προσλαμβάνουν CISO με μερική απασχόληση ή χρησιμοποιούν εξωτερικούς virtual CISO για υποστήριξη πολλαπλών οργανισμών.
Μορφές απασχόλησης CISO
Η δουλειά ξεκίνησε με βασική ευθύνη την άμυνα έναντι ψηφιακών απειλών, αλλά οι αρμοδιότητες αυξήθηκαν χωρίς πάντα να αυξάνονται οι πόροι. Όπως λέει ο Τζο Σίλβα, πρώην CISO και νυν Διευθύνων Σύμβουλος της εταιρείας ασφάλειας Spektion: «Τα προσόντα που μας εξασφαλίζουν τη συμμετοχή στις συζητήσεις των στελεχών δεν εγγυώνται απαραίτητα και αποτελέσματα». Στην πράξη, πολλές φορές συμμετέχεις στις συζητήσεις αλλά η γνώμη σου δεν έχει την ίδια βαρύτητα.
Έρευνα του 2024 σε 500 CISO παγκοσμίως από την εταιρεία κυβερνοασφάλειας Trellix διαπίστωσε ότι το 72% των ερωτηθέντων ανησυχεί για το επαγγελματικό του μέλλον στη θέση αυτή. Η ανησυχία προκύπτει από τις αυξανόμενες ευθύνες, τις κανονιστικές υποχρεώσεις – από το απόρρητο στην υγεία βάσει του HIPAA έως τον χρηματοπιστωτικό κλάδο – και τον διογκούμενο καθημερινό φόρτο εργασίας. Όπως επισημαίνει ο Ρον Γκριν, πρώην επικεφαλής ασφαλείας της Mastercard: «Όλοι θέλουν να ρίξουν το φταίξιμο στον CISO».
Διατάραξη μετά αποχωρήσεων
Όταν οι CISO αποχωρούν, συχνά διαταράσσεται η λειτουργία της ομάδας πληροφορικής και δεν υπάρχει έτοιμος αντικαταστάτης. «Πολλοί από τους υφισταμένους δεν έχουν επαρκή εμπειρία»”, επισημαίνει ο Σίλβα. Κατά συνέπεια το επίπεδο ασφάλειας μπορεί να υποβαθμιστεί, αυξάνοντας τον επιχειρησιακό κίνδυνο.
Ο ρόλος παραμένει κομβικός για τη λειτουργία των επιχειρήσεων: πληρώνεται καλά αλλά συχνά δεν βρίσκεται ψηλά στην ιεραρχία, με αποτέλεσμα οι ευθύνες να συσσωρεύονται και οι οργανισμοί να στερούνται σταθερότητας στη διαχείριση της ασφάλειας.
naftemporiki.gr
