Zespołom ds. cyberbezpieczeństwa grozi odpływ talentów. Gartner przewiduje, że w ciągu najbliższych 2 lat prawie połowa CISO rzuci swoją robotę i zajmie się czymś innym. Nie wytrzymają życia w ciągłym napięciu. Jedna czwarta liderów ds. cyberbezpieczeństwa będzie pełniła różne role tylko ze względu na stres w takiej pracy.

„Specjaliści ds. cyberbezpieczeństwa są narażeni na niemożliwy do wytrzymania poziom stresu” – przyznaje Deepti Gopal, dyrektor ds. analityki w Gartnerze. „CISO są obrońcami, a jedynym możliwym skutkiem ich działań jest to, że zostaną lub nie zostaną zhakowani. Psychologiczny wpływ takiej sytuacji odbija się na jakości decyzji, wydajności szefów ds. cyberbezpieczeństwa i ich zespołów”.

Brak wsparcia powodem ucieczki specjalistów

Badania Gartnera pokazują, że zorientowane na zgodność programy bezpieczeństwa cybernetycznego, niskie wsparcie kadry kierowniczej i słaba dojrzałość branżowa cechują organizacje, które uważają, że zarządzanie ryzykiem nie jest krytyczne dla sukcesu biznesowego. Takie firmy muszą liczyć się z większą rotacją fachowców.

„Wypalenie i dobrowolne odejścia są wynikiem słabej kultury organizacyjnej” – twierdzi Deepti Gopal. „Chociaż eliminacja stresu jest nierealnym celem, ludzie mogą wykonywać niezwykle trudne i stresujące prace w warunkach, w których są wspierani” – dodaje.

74 proc. pracowników świadomie lekceważy zabezpieczenia

Gartner przewiduje, że do 2025 r. brak fachowców lub ludzkie błędy będą odpowiadać za ponad połowę znaczących cyberincydentów.

Według badania z ub.r. 69 proc. pracowników pominęło wytyczne organizacji dotyczące bezpieczeństwa cybernetycznego w ciągu poprzednich 12 miesięcy.

Aż 74 proc. pracowników stwierdziło, że byłoby skłonnych ominąć wytyczne dotyczące bezpieczeństwa cybernetycznego, gdyby pomogło im to lub ich zespołowi osiągnąć cel biznesowy.

Aby stawić czoła temu zagrożeniu, Gartner przewiduje, że do 2025 r. połowa średnich i dużych przedsiębiorstw, wobec 10 proc. obecnie, przyjmie formalne programy zarządzania ryzykiem wewnętrznym.

CISO muszą przewidywać wewnętrzne ryzyko

Eksperci zalecają, by taki program przewidywał i identyfikował zachowania, które mogą skutkować eksfiltracją aktywów korporacyjnych lub innymi szkodliwymi działaniami. Radzą też, by przygotować wskazówki, jak poprawić sytuację, a nie serwować kary.

„Opracowując program bezpieczeństwa cybernetycznego, CISO muszą w coraz większym stopniu brać pod uwagę ryzyko wewnętrzne. Tradycyjne narzędzia cyberbezpieczeństwa mają ograniczony wgląd w zagrożenia, które pochodzą z wewnątrz” – radzi Paul Furtado, VP analyst w Gartnerze.