CISO’s voelen de druk vanwege verhalen van collega’s rond persoonlijke aansprakelijkheid voor beveiligingsincidenten. En daar is vooral in de VS gegronde reden voor.
ITPro staaft dat met een aantal heftige voorbeelden. Het beruchtste voorbeeld van persoonlijke aansprakelijkheid is die van de Amerikaanse Securities and Exchange Commission (SEC). Vorig jaar kondigde het SEC aan dat zij aanklachten hadden ingediend tegen zowel SolarWinds als haar CISO, Tim Brown. Het gaat om beschuldigingen van ‘fraude en interne controlefouten met betrekking tot naar verluidt bekende cyberveiligheidsrisico’s en kwetsbaarheden’.
Terwijl Brown eerder dit jaar de aanklachten succesvol verwierp, hadden anderen niet zoveel geluk. Uber-CSO Joe Sullivan kreeg bijvoorbeeld een proeftijd van drie jaar en een boete van $ 50.000 voor het verdoezelen van een datalek uit 2016.
Angst voor vervolging beïnvloedt mening CISO over eigen baan
CISO’s vrezen dat de dreiging van dergelijke aanklachten blijkt uit onderzoek van beveiligingsbedrijf BlackFog. Daaruit blijkt dat de mening van zeven op de tien CISO’s op de baan negatiever wordt door dit soort incidenten. Ongeveer een derde zegt in het onderzoek dat de trend neigt naar een afrekencultuur waardoor ze met interne gevolgen te maken krijgen als ze tekortkomingen melden, en vervolgd worden als ze dat juist niet doen. Ze kunnen daardoor geen kant meer op.
Bijna de helft (44%) van de respondenten in het onderzoek geeft aan dat hun bedrijf als gevolg daarvan al processen heeft ingevoerd om hun cyberblootstelling te verminderen. Verder is bijna de helft van de respondenten van mening dat de mogelijkheid dat een iemand wordt vervolgd na een cyberaanval de verantwoordingsplicht en transparantie onder cyberprofessionals zou verbeteren. Dit was hoger voor respondenten in de VS, namelijk 55%, vergeleken met die in Groot-Brittannië (43%). Slechts 15% geloofde dat het een afschrikmiddel zou zijn voor IT-professionals om CISO te worden.
Ondertussen zegt vier op de tien dat het toegenomen toezicht en de mogelijkheden van persoonlijke aansprakelijkheid ertoe hebben geleid dat het bestuur cyberbeveiliging nu serieuzer neemt. Dit was hoger in Groot-Brittannië, waar 47% van de veiligheidsleiders het daarmee eens was, vergeleken met slechts 35% in de VS.
Tip:
- IT-beslissers volgens Cisco minder AI-ready dan jaar geleden