Топ-ръководителите по ИТ сигурността в повечето организации са все по-склонни — и даже нетърпеливи — да се оттеглят от сегашните си отговорности и да направят генерална промяна в кариерата. Някои са достатъчно разочаровани, за да искат изцяло да напуснат света на киберсигурността.
Скорошно проучване сред лидери по ИТ сигурността от IANS Research и Artico Search установи, че 69% от ръководителите по сигурността „са отворени за промяна в кариерата през следващата година, като често се насочват към роли на CISO в по-голяма компания или в различна индустрия, но също така и към други роли, които не са свързани с CISO, като главен технически директор, ИТ директор, член на борда или второстепенна роля в ръководството по сигурността в по-голяма компания“, според доклада.
Анализаторите и консултантите по киберсигурност приписват тази промяна на различни проблеми въз основа на това, което са видели и чули от CISO.
Много отговорност, малко влияние
„Не става въпрос толкова за преследване на малко по-добра или по-висока заплата или титла. Основната причина е чистото изтощение, организационните неуредици и нарастващото усещане, че работата, както е структурирана в момента в много организации, не е устойчива“, казва Ерик Авакян, технически съветник в Info-Tech Research Group.
Ръководителите по ИТ сигурността живеят в свят на постоянна спешност. Неочаквани инциденти, рутинни одити, актуализации, предизвикателства заради доставчици и трети страни, нови регулаторни изисквания и крайни срокове – това е ежедневието на CISO.
“В същото време мнозина все още се възприемат вътрешно в своите организации като служители по сигурността, а не като истински бизнес-лидери. Тази пропаст между отговорност и влияние изтощава хората, особено ако влиянието не нараства с времето“, коментира Авакян.
Такива модели са се вкоренили в предприятията в продължение на много години, което прави този проблем труден за решаване от ръководителите на организациите.
„Отговорът не е просто „плащайте им повече“, въпреки че обезщетението безспорно има все по-голямо значение в наши дни“, казва Авакян. „Не можете да поискате от някого да поеме риск на корпоративно ниво и да очаквате той да бъде мотивиран от средното ниво на заплащане.“
Какво може да се промени? Корекцията започва с предоставяне на „позиция на ниво предприятие“ на тези, които отговарят за сигурността на предприятието, смята консултантът.
„Това означава директен достъп до главния изпълнителен директор и управителния съвет; някой, който може да има време да изготви стратегия, да изгради взаимоотношения в целия бизнес, да влияе, а не да бъде погребан под слоевете на ИТ или в ежедневен реактивен режим. Това означава власт, която отговаря на отговорността, реално влияние върху бюджетите за киберсигурност, архитектурата, позицията на трети страни и цялостните решения за риск“, казва Авакян.
„Повечето CISO искат да се откажат, но не защото са загубили интерес към мисията. Повечето CISO и лидери по сигурността имат страст към това, което правят, и към това да помагат на другите“, пояснява той. „Ако си тръгват, това е, защото искат да ръководят, изграждат и да променят – ала твърде често структурата около тях прави това невъзможно“.
„Системна уязвимост“
Проблемът надхвърля обикновената смяна на работа. „Гледаме изтичане на таланти на забавен каданс“, казва Санчит Вир Гогия, главен анализатор в Greyhound Research.
„Това, което го поражда, не е компенсация или липса на професионално развитие; това е провал на дизайна на ролята, чисто и просто“, обяснява той.
„Предприятията са създали позиция, която изисква от лидерите по сигурността да поемат огромна отговорност за рискове, които не могат да контролират напълно, с недостатъчен авторитет, неравномерна поддръжка от страна на ръководството и голяма вероятност да се превърнат в определената изкупителна жертва, когато нещо се обърка“, допълва анализаторът.
Освен това емоционалният натиск от ролята на CISO непрекъснато се влошава. Щетите върху душевното здраве често продължават да съществуват и след напускането на един ръководител по сигурността.
Когато CISO напусне, бързо се усещат вторичните трусове. Ефективното заместване става възможно чак след месеци. Много от проектите се замразяват. Стратегическите програми за сигурност губят инерция. „Това е повече от проблем със задържането. Това е системна уязвимост. И все пак повечето бордове не го виждат като такова“, казва Гогия.
Още по-лошо – CISO, които напускат позициите си, често се отдалечават изцяло от ролята, отбелязва той.
„Някои пренастройват кариерата си към консултиране или частична консултантска работа, където могат да останат ангажирани в областта, без да поемат институционалната тежест на това да бъдат последната линия на защита. Други се плъзват настрани към роли в корпоративния риск, одита или съответствието с нормативните изисквания. Това са функции, при които правата за вземане на решения и отчетността са по-добре съгласувани“, коментира Гогия
Най-добрият начин да се предотврати напускането на CISO, според него, е „да дадете на CISO властта, от която се нуждаят, за да вършат работата си“.
Какво ще рече това? Ако CISO е отговорен за риска от т. нар. трета страна, тогава той се нуждае от право на вето при възлагане на поръчки. Ако CISO е отговорен за реакцията при пробив, тогава той се нуждае от правомощия за това как се обработват и документират изключенията от риска, обяснява Гогия.
„Все повече и повече CISO получават обширни портфейли от отговорности: съответствие, измами, поверителност, ESG. Но без съответстващ екип, бюджет или политическа подкрепа“, допълва той. С други думи, ако ръководителят по ИТ сигурността е отговорен зак уп проблеми, нищо не е под негов контрол, единственият рационален ход е да си тръгне.
CISO като единична точка на отказ
Делът на CISO, които искат да напуснат, е дори по-висок от констатациите на IANS, убеден е Зак Луис, CISO в Университета по здравни науки и фармация в Сейнт Луис.
„Мисля, че определено нивото е по-високо. Всеки CISO, който познавам сега, е отворен [за напускане]. Всички те търсят. Искат нещо ново“, казва Луис. И отбелязва, че има известна разлика в това дали става дума за работа в частно предприятие или в публично.
„Ако топ-мениджърите съвети искат да запазят най-добрите си кибер-таланти, те трябва да спрат да третират CISO като ударопоглъщаща повърхност и да започнат да ги третират като стратегически фактор,“ казва консултантът по киберсигурност Брайън Левин, бивш федерален прокурор.
„Влиянието, бюджетът и правната защита не са привилегии: те са предпоставки. Това прекъсване на връзката прогонва някои от най-добрите“, допълва той.
Ливайн намира грешка и в липсата на смислени планове за наследяване на CISO в много предприятия. „Трябва да изградим канали за заместници и да ротираме талантите. В момента твърде много CISO са единични точки на провал – и те го знаят“, заключава специалистът.
