Unul dintre cele mai stresante joburi în acest moment este cel de responsabil cu securitatea cibernetică dintr-o companie (CISO – Chief Information Security Officer). Pentru cei din afară, persoanele care ocupă această poziție par a nu avea mari dificultăți în a-și derula activitatea. În realitate, ei se confruntă cu volume foarte mari de muncă. În plus, răspunderea pe care o au în cazul incidentelor îi face să fie într-o permanentă tensiune.
Specialiștii Eset atrag atenția că aproape două treimi (65%) din angajații care ocupă poziția de CISO au luat în considerare posibilitatea de a părăsi postul din cauza presiunii la locul de muncă. Totodată, circa un sfert (24%) dintre aceştia au recunoscut că folosesc automedicaţia pentru a atenua stresul.
„Volumele mari de muncă şi spectrul răspunderii personale în cazul incidentelor îi afectează în aşa măsură pe angajaţii din domeniul securităţii, încât mulţi dintre ei caută să schimbe postul (…) Securitatea cibernetică devine în sfârşit un subiect dezbătut la nivelul consiliului de administraţie al companiilor. Aşa cum ar trebui să fie, având în vedere rolul tot mai important pe care îl joacă gestionarea riscurilor cibernetice în luarea deciziilor strategice. Riscul cibernetic este, în mod fundamental, un risc de bază al business-ului, cu potenţialul de a propulsa sau de a dărâma o organizaţie. Aceasta este cu siguranţă principiul care stă la baza noilor norme de reglementare din SUA. Dar, recunoscând importanţa sa, echipa de management şi autorităţile de reglementare exercită o presiune mai mare asupra responsabililor CISO (Chief Information Security Officer), fără a le oferi neapărat recunoaşterea şi recompensarea corespunzătoare. Rezultatul este previzibil: angajaţii în rol de CISO înregistrează o creştere a nivelului de stres, a epuizării şi a nemulţumirii”, explică Phil Muncaster, expert Eset.
O analiză realizată de Eset arată că 75% dintre directorii CISO afirmă că sunt deschişi la o schimbare, în creştere cu 8% faţă de anul 2023. De asemenea, aproape două treimi (64%) s-au declarat mulţumiţi de rolul lor, în scădere cu 10%, de la un an la altul.
Cu toate acestea, responsabilii CISO susţin că au avut întotdeauna o muncă stresantă, iar printre factorii determinanţi se află:
- nivelul crescut al ameninţărilor cibernetice, lucru care face ca multe companii să se afle într-o stare de alertă continuă;
- volumul de muncă excesiv determinat de cerinţele tot mai mari din partea managementului;
- lipsa resurselor şi a finanţării adecvate; volumul de lucru care îi obligă pe angajaţii în rol de CISO să lucreze ore suplimentare şi să-şi anuleze concediile;
- cerinţe de conformitate care continuă să crească cu fiecare an care trece.
În acest sens, circa un sfert (24%) dintre liderii globali din domeniul IT şi al securităţii au recunoscut că folosesc automedicaţia pentru a atenua stresul, în timp ce aproximativ două treimi (65%) dintre CISO recunosc că stresul legat de locul de muncă le-a compromis capacitatea de a performa la locul de muncă.
Pe lângă acest nivel de stres de bază, în ultimele luni au apărut controale suplimentare din partea autorităţilor de reglementare, a autorităţilor juridice şi a consiliilor de administraţie.
Noua directivă NIS2, care urmează să fie transpusă în legislaţia statelor-membre ale UE până în octombrie 2024, conferă Consiliului de Administraţie responsabilitatea directă de a aproba măsurile de gestionare a riscurilor cibernetice şi de a supraveghea punerea lor în aplicare. De asemenea, membrii conducerii pot fi traşi la răspundere personal dacă sunt găsiţi vinovaţi de neglijenţă în cazul unor incidente grave.
Analistul Jon Oltsik, din cadrul Enterprise Strategy Group (EST), avertizează asupra faptului că presiunea tot mai mare pe care astfel de măsuri o exercită asupra celor cu atribuţii de CISO face ca sarcina lor principală de a răspunde la ameninţări şi de a gestiona riscurile cibernetice să devină mai dificilă.
Un studiu recent al ESG evidențiază faptul că sarcini, precum colaborarea cu Consiliul de Administraţie, supravegherea conformităţii cu reglementările şi gestionarea unui buget, transformă rolul CISO dintr-unul tehnic într-unul orientat spre business. În acelaşi timp, 65% dintre responsabilii cu securitatea cibernetică au luat în considerare posibilitatea de a părăsi rolul din cauza stresului inerent.
„Concluzia este că, dacă responsabilii CISO se luptă să facă faţă volumului de muncă şi se tem de represalii şi de răspunderea penală pentru acţiunile lor, este probabil ca aceştia să ia decizii zilnice mai proaste. Mulţi ar putea chiar să părăsească industria. Acest lucru ar avea un impact extrem de negativ asupra unui sector care deja se luptă cu lipsa personalului specializat. Dar nu trebuie să fie aşa. Există lucruri pe care atât consiliile de administraţie, cât şi personalul CISO le pot face pentru a atenua situaţia. Consiliile de Administraţie ar trebui să evalueze sănătatea mentală, volumul de muncă, resursele şi structurile de raportare ale personalului cu rol de CISO pentru a le optimiza eficienţa (…) Echipa de management ar trebui să remunereze angajaţii CISO în concordanţă cu riscul ridicat pe care îl înglobează acum rolul lor (…) Consiliile de Administraţie ar trebui să le ofere directorilor şi personalului CISO o asigurare de tip D&O (Directors and Officers) pentru a-i proteja de riscuri grave”, atrage atenția Phil Muncaster.
Eset a fost fondată în anul 1992 în Bratislava (Slovacia) şi se situează în topul companiilor care oferă servicii de detecţie şi analiză a conţinutul malware, fiind prezentă în peste 180 de ţări.
Autor: Mihai Colț
Foto: Arhiva Ordinea Zilei
