Cisosi suočavajući se sa rastućim izgaranjem jer se njihove uloge proširuju izvan sigurnosti, sa velikim stresom, niskom organizacijskom tijelu i kratkim mandatom. AI mogu pomoći, ali za promjenu je potrebna autonomija
Od
- Tim Griefesonson
Objavljeno: 29. jul 2025
Hajde da se suočimo sa tim, niko ne govori o izgaranju u cyber-sigurnosti dok već nije prekasno. Pritisak za Cisos i lidere bezbednosti već godinama je tiho ugrađen. Kasne noći, sve veći broj incidenata, smanjujući proračune, ikad mijenjajući krajolik propisa i prijetnji i stalno očekivanje da budu svugdje i da budem preko svega. Oni su u suštini zaduženi da igraju vitla, ali s molama koji mogu prekršiti ili ukrasti vrijedne podatke koji će se zadržati otkupninu, sve dok pokušavaju prevesti na vrijeme i čak teže pritisnutim za pažnju ili budžet. Ali kada se pojavi neizbježni povreda ili cyber incident, Ciso je onaj koji je lijevi držeći čekić.
Da budem jasan, ovo nije pitanje mekog veština. Nije da ciso ili sigurnosni timovi ne mogu nastaviti ili nedostajati sposobnost govoreći jezik odboja ili da današnji lideri bezbednosti nisu usavršili veštinu razgovora poput poslovne osobe. Uloga CISO-a i sigurnosti rastegnuta se kao što postaju odgovorni i odgovorni za više imovine, procesa i sposobnosti kritičnih za poslovanje. Što više kritička cyber sigurnost postaje na kontinuitet poslovanja, povjerenje kupaca i usaglašenosti u regulatoru, to se više uloga Ciso-a prekrivane izvan priznanja i približavamo se lomljivi. Prema jednoj studiji, gotovo trećina Cisosa kaže da stres negativno utječe na njihov učinak, a prosječni mandat Ciso-a sada je samo više od dvije godine (26 mjeseci). Osim ako se nešto ne promijeni, ne samo na individualnom nivou, već i preko cijelog sigurnosnog ekosustava, nastavićemo gubitak samih lidera koje se oslanjamo na većinu čije su se iskustvo i mogućnosti izgrađene tokom desetljeća osiguranja sigurnosti omogućuju poslovanje.
Zašto Ai sami neće spasiti Ciso
Ako mi se sviđa, sjedite u dovoljno sastanaka odbora, čujete isto pitanje izlazak iznova i iznova: “Ne mogu li Ai ovo riješiti?” To je primamljiva ideja i istina je da može biti vrlo vrijedan alat u kutiji sa alatima sigurnosti. S pravim alatom, pravi model, pravo na pravu automatizaciju, konačno možemo isključiti pritisak automatiziranjem na skali, a tempo nikad prije. Ali to je samo dio rješenja. Sigurno, AI može ubrzati otkrivanje, pojednostaviti trijažu i površinske obrasce brže od većine analitičara, ali razumije li nijanse, kontekst, blizinu i poslovnu vrijednost? Može li prenijeti odgovornost i može li preuzeti kontrolu kada stvari idu isključene skripte ili se prilagode i mijenjaju zbog poslovne potrebe? U najboljem slučaju, AI je asistent. Najgore, to je nova površina napada koju smo jedva počeli razumjeti. Brzi injekcije, trovanje modelima i curenje podataka samo su neke od prijetnji izloženih u TEME TEME OWASP-a i ublažavanja u 2025. godine. Dakle, ako AI gleda vašu sigurnost, koji gleda satođač?
Što se više tiče onoga što ovaj narativ čini na cjevovod talentira. Dok automatiziramo više radova na ulazničkoj razini, riskiramo erodirajući sam temelj koji moramo rasti sljedeće generacije cyber stručnjaka. Junior analitičari nisu samo zaposleni, oni su budući Cisos u treningu. Kad su zamijenjeni automatizacijom, a ne da se popriliju zajedno s njim, rješavamo današnji problem resursa po cijenu sutrašnjeg vodstva. A ciklus izgaranja nastavlja se. Inovacija u AI-u je nešto što će se shvatiti ozbiljno, ali moramo biti jasni o tome što može i ne može popraviti. Preko moje karijere naučio sam da je moja ključna imovina talent koji postoji u mojoj ekipi, a fokus je potreban na tome kako zapošljavate, odaberite, negujete i promovirate svoj tim kako bi mogli uspjeti u svojim ulogama. Koji donosi kvalitetnu, lojalnost i izuzetnu uslugu fokusirana na kupca.
Možda je vrijeme za redefiniranje “Ciso”?
Bilo je vremena kada je CISO-ov izgled prilično definiran; Držite loše glumce, zadržite sisteme zakrpljenim i držite revizore srećnim. Halcyon dani za mnoge Cisos. Danas se njihova uloga proteže u odnosu na regulatorno usklađivanje i rizik od treće strane za krizne kompanije, uvjeravanje kupaca i odbornika. Ne čuvaju se samo protiv prijetnji. Oni obrađuju ispadnike, očuvanje reputacija i žongliraju sve visokih očekivanja, upravljajući budžetima, rješavajući tehnički dug i govoreći o poslovnim usklađenim pričama. U mnogim slučajevima su i “lice otpornosti” za posao. Dakle, je li “glavni službenik za sigurnost informacija” još uvijek pogodan na svrhu? Ako odgovornosti prerasle originalni mandat, možda je vrijeme da se i uloga evoluira. “Glavni oficir za otpornost” možda neće iskoristiti jezik, ali bliže je stvarnosti, a on signalizira nešto što poslovanje treba čuti da se sigurnost radi o kontinuitetu, povjerenju i dugoročnoj stabilnosti, a ne samo alatama i tehnologiji.
Šta je moć bez autonomije?
Nekome možete dati odgovornost, ali ako im ne date ovlaštenje da se podudaraju, to nije liderstvo, to je odgovornost. To je upravo na poziciji mnogi Cisos nalaze se u 2025. godini. Zadaci su da zaštite organizacije od egzistencijalnog rizika, ali još uvijek izvještavaju o njenim vođstvom koje nisu dizajnirane za neovisnost, nadzor ili izazov. Kada CISO izvijesti u CIO, često postoji ugrađeni sukob interesa: osoba odgovorna za osiguranje infrastrukture odgovora na osobu odgovornu za dostavu i optimizaciju. CIO može – namjerno ili ne – prioritet funkcionalnosti, raspoloživost i performanse, dok CISO možda treba usporiti stvari za posteljivanje ranjivosti, stvrdnjavanja ili guranje na rizične implementacije. Ako CISO nedostaje nezavisnosti, sigurnosne odluke mogu biti nadjačane, umanjene, ili čak izravno siromašne u korist vremenskih linija za isporuku ili budžetskim ciljevima.
Ovo nije sukob Egosa, već više o upravljanju. Izvještavajuće linije oblikuju koliko je rizik prioritet, kako se izdvajaju proračuni i kako iskren CISO može biti kada nešto treba reći. Ako je sigurnost istinski zabrinutost razine ploče, što bi trebalo biti, tada je Ciso potrebna linija u odboru ili barem Odbor za reviziju, koji se ne filtrira operativnim slojevima.
Takođe je šira kulturna implikacija. Kada se Ciso tretiraju kao podređeni na njega, šalje poruku da je cybersecurity tehnička funkcija, a ne strateška i poslovna usklađena. I ta poruka se brzo filtriraju u zapošljavanje, odluke o finansiranju i kako se incidenti rješavaju kada se pritisak raste. Ako organizacije žele da lideri bezbednosti djeluju kao poslovni moniči i krizni navigatori, oni moraju prestati da ih stavljaju u strukturu koja vežu njihove ruke, ali umjesto toga omogućava im da voze poslovanje u doba krize, rasta ili značajnih promjena. Podizanje i slavlje pojedinci su od suštinskog značaja, ali i izgradnju sustava koji je dizajniran da im dopusti da uspiju, a ne zadržati ih natrag osiguravaju da budući vođe mogu zadržati u organizaciji i industriji u cjelini. Najvažnije, oni će održavati dobro mentalno zdravlje na mjestu gdje se osjećaju podržano i cijenjeno.
Tim Griefeson, OCD na stvari
Pročitajte više o upravljanju IT rizikom
-
Koje daske treba potražiti u Cisou
-
Ciso Burnout: Kako uravnotežiti vodstvo, pritisak i razumnost
Napisao: Rosa Heaton
-
Pogledajte budućnost: Kako se pejzaž prijetnji može razvijati sljedeće
-
Sigurnosni intervjui: Stephen McDermid, Okta
Napisao: Dan Raywood