En chef på C-nivå kommer att avskedas för deras företags användning av medarbetarövervakning 2023. Det är en av säkerhets-, integritets- och riskprognoserna som sänds av Forrester på måndag.
Under det kommande året kommer lagstiftare att ägna ökad uppmärksamhet åt övervakning av arbetsplatser, och whistleblowers kan också kräva övervakningsinformation för att stödja klagomål om brott mot arbetslagstiftningen, enligt prognoserna som sammanställts av 10 Forrester-analytiker.
Analytikerna rådde företag att prioritera integritetsrättigheter och anställdas erfarenhet när de implementerar någon övervakningsteknik, oavsett om det är för produktivitet, strategier för återgång till kontoret eller insiderriskhantering.
“Människor i C-sviten måste vara medvetna om vad de övervakar och människors integritet, och helst kommer de att ha en tredjepartsrevision bakom sig för att se till att de följer tillämpliga regler”, konstaterade Joey Stanford, chef för global säkerhet och integritet för Platform.shen global plattform som tjänsteleverantör.
“Vi har en ny generation anställda som kommer in som bryr sig om integritetsrättigheter,” sa han till TechNewsWorld.
Timothy Toohey, en integritetsadvokat med Greenberg Glusker i Los Angeles, kom överens om att kränkningar av anställdas eller kunders integritet kan få en chef att falla i framtiden.
“I ljuset av Drizly-beslutet från FTC, är chefer mycket i korset,” sa han till TechNewsWorld. “Om det finns ett fall där det har funnits otillräcklig säkerhet, ingen säkerhetsplan eller ett tidigare intrång som har ignorerats, kan jag se någon från C-sviten läggas på hugget.”
I Drizly-fallet tillkännagav Federal Trade Commission i oktober att de skulle införa individuella sanktioner mot VD:n för det alkoholleveransföretaget för missbruk av dataintegritet, vilket påstås ha resulterat i exponeringen av den personliga informationen för cirka 2,5 miljoner kunder.
Säkerhetsteam utbrände
Forrester förutspådde också att ett globalt 500-företag kommer att avslöjas 2023 för att bränna ut sina cybersäkerhetsanställda.
Säkerhetsteamen är redan underbemannade, konstaterade analytikerna. De citerade en studie från 2022 som visade att 66 % av säkerhetsteammedlemmarna upplever betydande stress på jobbet, och 64 % har haft arbetsstress påverkat deras mentala hälsa.
De tillade att personal förväntas vara tillgänglig 24/7 genom större incidenter, hålla koll på alla risker, leverera resultat inom begränsade tidsramar och möta pushback när de gör budgetförfrågningar.
“Idag är alla säkerhetsteam, inklusive mitt eget, utbrända,” sa Stanford. “Anledningen till att vi är utbrända är att vi inte har tillräckligt med finansiering. Varför har vi inte tillräckligt med finansiering? Eftersom säkerheten behandlas på ett kostnadsställe.”
Ökningen av attacker i leveranskedjan och behovet av att övervaka fler tredje parts risker bidrar också till utbrändhet, tillade Brad Hibbert, COO och CSO på Förhärskandeett riskkonsultföretag från tredje part.
“Företag försöker få mer synlighet över fler tredje parter,” sa han till TechNewsWorld. “Det betyder att de måste bedöma fler tredje parter. För att göra det måste säkerhetsteamen göra mer arbete. Vi upptäcker att lag slår mot en vägg. De kan inte skala sina program effektivt och effektivt utan att bränna ut säkerhetsteam.”
Återställ förväntningar
Utbrändhet inom cybersäkerhetsanställda är en riktig sak, konstaterade Roger Grimes, en försvarsevangelist på KnowBe4en utbildningsleverantör för säkerhetsmedvetenhet i Clearwater, Fla.
“Jag har varit i cybersäkerhetsvärlden i över 34 år nu, och under den tiden har jag varit tvungen att ge råd och mentor för många människor som var helt utbrända inom detta område, mest för att det de gjorde för att stoppa cyberbrottslighet inte fungerade och kommer sannolikt aldrig att fungera”, sa han till TechNewsWorld.
“Jag har fått adepter och vänner att lämna cybersäkerhetsfältet för att bli konstnärer, författare och till och med arbeta med vad som annars skulle kunna ses som “snålt arbete” eftersom de åtminstone kände att deras nya jobb gjorde en skillnad i människors liv”, sa han .
“Jag fattar. Vem vill sitta på ett höghastighetshamsterhjul och aldrig komma framåt, aldrig lösa problemet du anlitades för att lösa?” frågade Grimes.
“Jag råder cybersäkerhetsproffs med utbrändhet att få en polisliknande mentalitet för sitt arbete”, fortsatte han. “Tro inte att du någonsin kommer att lösa problemet helt. Var som en misshandlad polis som vet att hans stad är full av brott, mycket av det kan de inte stoppa, och det pågår runt omkring dem. Men varje polis lägger ner huvudet, gör det bästa jobb de kan, och om de lägger ner brottet framför sig så gott de kan, då har de gjort ett bra jobb.”
“Om du inte vill bränna ut, återställ dina förväntningar, gör det bästa jobbet du kan göra inom det du kan kontrollera och mät din framgång på vad du kan påverka,” rådde han.
Ambitiös förutsägelse
En annan Forrester-förutsägelse: mer än 50 % av riskcheferna kommer att rapportera direkt till sin organisations VD.
2022 blev risk det dominerande temat på säkerhetskonferenser som Black Hat, noterade analytikerna. Det har överträffat efterlevnad som den primära drivkraften för investeringar i styrning, risk och efterlevnadsteknologi eftersom risknivån för företag har ökat.
De noterade också att företagens riskprioriteringar går från efterlevnad till motståndskraft. Chefer och styrelser ser till CRO:er för att hjälpa till att identifiera nya affärsmöjligheter.
ERM-initiativet och AICPA:s 2022 The State of Risk Oversight-studie visar att 44 % av företagen har en CRO, och 47 % av dem rapporterar till VD:n, tillade de. För att säkerställa att ERM får den nödvändiga nivån av verkställande synlighet och stöd kommer fler CRO:er att rapportera till VD:ar under 2023, noterade de.
Jason Hicks, fält-CISO och verkställande rådgivare på Kol elden leverantör av cybersäkerhetsrådgivningstjänster i Westminster, Colorado, fann Forresters 50%-prognos lite ambitiös.
“Säkerhets- och riskchefer har drivit på för denna förändring i flera år nu med svaga resultat,” sa han till TechNewsWorld. “Intern företagspolitik är en ganska betydande barriär på den här.”
“Jag förväntar mig att se fler säkerhetschefer rapportera till VD:n, men inte 50% under nästa år,” sa han. “Jag skulle också bredda titlarna till att inkludera CISO och CSO, eftersom CRO-titeln är mest utbredd inom finansiella tjänster och kanske inte existerar i andra vertikaler som en fristående roll.”
Att komma in i MDR-branschen
Forrester förutspådde också att minst tre cyberförsäkringsgaranter kommer att förvärva en leverantör av hanterad detektion och svar (MDR) 2023.
Medan försäkringsleverantörer har infört mer rigorösa försäkringsprocesser under 2022, finns det fortfarande ökade premier och minskade täckningar blinda fläckar, förklarade analytikerna.
De förväntar sig att försäkringsbolag ska gå aggressivt in i cybersäkerhet genom att förvärva MDR-företag, av vilka många kommer att leta efter en utgång från en marknad som har blivit mycket konkurrenskraftig.
Hicks höll med Forresters prognostiker. “Det är ett bra sätt att lägga till ARR [Absolute Risk Reduction] in i deras intäktsmix”, sa han.
“Vi har redan sett Aon och andra köpa incidenthanteringsföretag, så detta är ytterligare en synergistisk investering för försäkringsbolagen,” fortsatte han. “Det kan också vara ett bra sätt att hantera personalutmaningar, eftersom många av MDR-företagen också har personal för incidenthantering.”