В 2023 году руководитель высшего звена будет уволен за то, что его фирма использует мониторинг сотрудников. Это один из прогнозов безопасности, конфиденциальности и рисков, опубликованных Форрестер в понедельник.
Согласно прогнозам, составленным 10 аналитиками Forrester, в наступающем году законодатели будут уделять повышенное внимание мониторингу рабочих мест, а осведомителям также может потребоваться информация для мониторинга в поддержку жалоб на нарушения трудового законодательства.
Аналитики посоветовали компаниям уделять первоочередное внимание правам на конфиденциальность и опыту сотрудников при внедрении любой технологии мониторинга, будь то для повышения производительности, стратегии возвращения в офис или управления внутренними рисками.
«Люди высшего звена должны быть осведомлены о том, что они отслеживают, и о конфиденциальности людей, и в идеале за ними должен стоять сторонний аудит, чтобы убедиться, что они соблюдают применимые правила», — заметил Джоуи Стэнфорд, глава глобальная безопасность и конфиденциальность для Платформа.шглобальная платформа в качестве поставщика услуг.
«К нам приходит новое поколение сотрудников, которые заботятся о правах на неприкосновенность частной жизни», — сказал он TechNewsWorld.
Тимоти Тухи, адвокат по вопросам конфиденциальности Гринберг Глускер в Лос-Анджелесе согласились с тем, что нарушение конфиденциальности сотрудников или клиентов может привести к увольнению руководителя в будущем.
«В свете решения Федеральной торговой комиссии по делу Дризли руководители находятся под пристальным вниманием», — сказал он TechNewsWorld. «Если есть случай, когда была неадекватная безопасность, отсутствовал план безопасности или предыдущее нарушение, которое было проигнорировано, я могу увидеть, как кого-то из высшего руководства кладут на плаху».
В случае с Drizly Федеральная торговая комиссия объявила в октябре, что она наложит индивидуальные санкции на генерального директора этой компании по доставке алкоголя за нарушения конфиденциальности данных, которые якобы привели к раскрытию личной информации около 2,5 миллионов клиентов.
Команды безопасности выгорели
Forrester также предсказал, что в 2023 году 500 мировых компаний будут разоблачены за увольнение своих сотрудников по кибербезопасности.
Аналитики отмечают, что службы безопасности уже недоукомплектованы. Они процитировали исследование 2022 года, которое показало, что 66% сотрудников службы безопасности испытывают значительный стресс на работе, а у 64% стресс на работе повлиял на их психическое здоровье.
Они добавили, что сотрудники должны быть доступны 24/7 во время крупных инцидентов, оставаться в курсе всех рисков, предоставлять результаты в ограниченные сроки и сталкиваться с отказом при подаче бюджетных запросов.
«Сегодня все службы безопасности, включая мою собственную, выгорели, — сказал Стэнфорд. «Причина, по которой мы выгорели, заключается в том, что у нас нет достаточного финансирования. Почему у нас недостаточно финансирования? Потому что безопасность рассматривается в центре затрат».
Увеличение числа атак на цепочку поставок и необходимость отслеживать больше сторонних рисков также способствуют выгоранию, добавил Брэд Хибберт, главный операционный директор и директор по безопасности Распространенные сетисторонняя консалтинговая компания по управлению рисками.
«Компании пытаются получить больше информации от большего количества третьих сторон», — сказал он TechNewsWorld. «Это означает, что они должны оценивать больше третьих сторон. Для этого командам безопасности необходимо проделать больше работы. Мы обнаруживаем, что команды упираются в стену. Они не могут эффективно масштабировать свои программы, не выжигая при этом команды безопасности».
Сброс ожиданий
Выгорание сотрудников службы кибербезопасности — это реальная вещь, — заметил Роджер Граймс, евангелист по обороне в ЗнайБе4организатор обучения по вопросам безопасности в Клируотере, штат Флорида.
«Я работаю в сфере кибербезопасности уже более 34 лет, и за это время мне приходилось консультировать и наставлять многих людей, которые полностью выгорели в этой области, в основном потому, что то, что они делали, чтобы остановить киберпреступность, не работало. и, скорее всего, никогда не сработает», — сказал он TechNewsWorld.
«У меня были подопечные и друзья, ушедшие из сферы кибербезопасности, чтобы стать художниками, писателями и даже работать над тем, что в противном случае можно было бы назвать «черным трудом», потому что они, по крайней мере, чувствовали, что их новая работа меняет жизнь людей», — сказал он. .
«Я понимаю. Кому захочется оказаться на колесе хомяка на высокой скорости и никогда не продвинуться вперед, никогда не решить проблему, для решения которой вас наняли?» — спросил Граймс.
«Я консультирую профессионалов в области кибербезопасности, страдающих выгоранием, чтобы они использовали в своей работе полицейский менталитет», — продолжил он. «Не думайте, что вы когда-нибудь полностью решите проблему. Будьте как полицейский, который знает, что его город полон преступности, большую часть которой они не могут остановить, и это продолжается повсюду вокруг них. Но каждый полицейский опускает голову, делает все, что в его силах, и если они излагают преступление перед собой как можно лучше, то они проделали отличную работу».
«Если вы не хотите перегореть, пересмотрите свои ожидания, выполняйте работу как можно лучше в рамках того, что вы можете контролировать, и оценивайте свой успех по тому, на что вы можете повлиять», — посоветовал он.
Амбициозное предсказание
Еще один прогноз Forrester: более 50% директоров по управлению рисками будут подчиняться непосредственно генеральному директору своей организации.
Аналитики отмечают, что в 2022 году риск стал доминирующей темой на конференциях по безопасности, таких как Black Hat. Он превзошел соответствие требованиям в качестве основного фактора инвестиций в управление, риски и соблюдение требований, поскольку уровень риска для предприятий увеличился.
Они также отметили, что приоритеты рисков компаний смещаются от соответствия требованиям к устойчивости. Руководители и советы директоров обращаются к CRO за помощью в выявлении новых возможностей для бизнеса.
Инициатива ERM и исследование состояния надзора за рисками, проведенное AICPA в 2022 году, показывают, что 44% фирм имеют CRO, при этом 47% из них подчиняются генеральному директору, добавили они. Они отметили, что для обеспечения необходимого уровня осведомленности и поддержки руководства ERM в 2023 году больше CRO будут отчитываться перед генеральным директором.
Джейсон Хикс, полевой директор по информационной безопасности и исполнительный советник в Угольный огоньпоставщик консультационных услуг по кибербезопасности в Вестминстере, штат Колорадо, счел прогноз Forrester о 50% несколько амбициозным.
«Руководители служб безопасности и управления рисками уже много лет настаивают на этом изменении, но без блестящих результатов», — сказал он TechNewsWorld. «Внутренняя политика компании является довольно серьезным препятствием для этого».
«Я ожидаю увидеть больше руководителей по безопасности, подчиняющихся генеральному директору, но не 50% в следующем году», — сказал он. «Я бы также расширил названия, включив в них директора по информационной безопасности и директору по безопасности, так как звание CRO наиболее распространено в сфере финансовых услуг и может не существовать в других вертикалях как самостоятельная роль».
Начало бизнеса MDR
Forrester также прогнозирует, что в 2023 году по крайней мере три андеррайтера киберстрахования приобретут поставщика управляемого обнаружения и реагирования (MDR).
Аналитики пояснили, что, хотя страховые компании ввели более строгие процессы андеррайтинга в 2022 году, повышенные премии и уменьшенные страховые покрытия все еще существуют.
Они ожидают, что страховщики будут активно заниматься кибербезопасностью, приобретая фирмы MDR, многие из которых будут искать выход с рынка, который стал очень конкурентным.
Хикс согласился с прогнозистами Форрестера. «Это хороший способ добавить ARR [Absolute Risk Reduction] в структуру их доходов», — сказал он.
«Мы уже видели, как Aon и другие покупают фирмы по реагированию на инциденты, так что это еще одна синергетическая инвестиция для страховщиков», — продолжил он. «Это также может быть хорошим способом решения кадровых проблем, поскольку во многих компаниях MDR также есть сотрудники по реагированию на инциденты».
