Editor Top
Un ejecutivo de nivel C será despedido por el uso de monitoreo de empleados por parte de su empresa en 2023. Esa es una de las predicciones de seguridad, privacidad y riesgo emitidas por Forrester los lunes.
En el próximo año, los legisladores prestarán mayor atención a la supervisión del lugar de trabajo, y los denunciantes también pueden exigir información de supervisión para respaldar las quejas sobre violaciones de la legislación laboral, según las predicciones elaboradas por 10 analistas de Forrester.
Los analistas aconsejaron a las empresas que prioricen los derechos de privacidad y la experiencia de los empleados al implementar cualquier tecnología de monitoreo, ya sea para la productividad, las estrategias de regreso a la oficina o la gestión de riesgos internos.
«Las personas en la suite C deben ser conscientes de lo que monitorean y de la privacidad de las personas, e idealmente tendrán una auditoría externa detrás de ellos para asegurarse de que cumplen con las regulaciones aplicables», observó Joey Stanford, director de seguridad global y privacidad para Plataforma.shuna plataforma global como proveedor de servicios.
“Tenemos una nueva generación de empleados que se preocupan por los derechos de privacidad”, dijo a TechNewsWorld.
Timothy Toohey, un abogado de privacidad con Glusker de Greenberg en Los Ángeles, acordó que las violaciones de la privacidad de los empleados o clientes podrían provocar la caída de un ejecutivo en el futuro.
“A la luz de la decisión de Drizly por parte de la FTC, los ejecutivos están en la mira”, dijo a TechNewsWorld. «Si hay un caso en el que ha habido una seguridad inadecuada, ningún plan de seguridad o una infracción anterior que se ha ignorado, puedo ver a alguien del C-suite siendo puesto en el tajo».
En el caso Drizly, la Comisión Federal de Comercio anunció en octubre que impondría sanciones individuales contra el director ejecutivo de esa empresa de entrega de alcohol por abusos en la privacidad de los datos, lo que supuestamente resultó en la exposición de la información personal de unos 2,5 millones de clientes.
Equipos de seguridad quemados
Forrester también predijo que una empresa global 500 quedará expuesta en 2023 por agotar a sus empleados de ciberseguridad.
Los equipos de seguridad ya no tienen suficiente personal, señalaron los analistas. Citaron un estudio de 2022 que encontró que el 66% de los miembros del equipo de seguridad experimentan un estrés significativo en el trabajo, y el 64% ha tenido un impacto de estrés laboral en su salud mental.
Agregaron que se espera que el personal esté disponible las 24 horas del día, los 7 días de la semana a través de incidentes importantes, se mantenga al tanto de cada riesgo, entregue resultados en plazos limitados y enfrente retrocesos al realizar solicitudes de presupuesto.
“Hoy, todos los equipos de seguridad, incluido el mío, están agotados”, dijo Stanford. “La razón por la que estamos agotados es que no tenemos suficientes fondos. ¿Por qué no tenemos suficientes fondos? Porque la seguridad se trata en un centro de costos”.
El aumento de los ataques a la cadena de suministro y la necesidad de monitorear más riesgos de terceros también están contribuyendo al agotamiento, agregó Brad Hibbert, COO y CSO de Predominanteuna empresa de consultoría de riesgos de terceros.
“Las empresas están tratando de obtener más visibilidad entre más terceros”, dijo a TechNewsWorld. “Eso significa que tienen que evaluar a más terceros. Para hacer eso, los equipos de seguridad necesitan hacer más trabajo. Estamos encontrando que los equipos están golpeando una pared. No pueden escalar sus programas de manera efectiva y eficiente sin agotar los equipos de seguridad”.
Restableciendo expectativas
El agotamiento de los empleados de seguridad cibernética es algo real, observó Roger Grimes, un evangelista de defensa en SaberBe4un proveedor de capacitación en concientización sobre seguridad en Clearwater, Fla.
“Llevo más de 34 años en el mundo de la ciberseguridad, y durante ese tiempo he tenido que asesorar y asesorar a muchas personas que estaban completamente agotadas en este campo, principalmente porque lo que estaban haciendo para detener el ciberdelito no estaba funcionando. y es probable que nunca funcione”, dijo a TechNewsWorld.
“Tuve aprendices y amigos que abandonaron el campo de la seguridad cibernética para convertirse en artistas, autores e incluso trabajar en lo que de otro modo se vería como un ‘trabajo de baja categoría’ porque al menos sentían que sus nuevos trabajos marcaban una diferencia en la vida de las personas”, dijo. .
«Lo entiendo. ¿Quién quiere estar en una rueda de hámster de alta velocidad y nunca salir adelante, nunca resolver el problema para el que te contrataron? preguntó Grimes.
“Aconsejo a los profesionales de la ciberseguridad con agotamiento que adquieran una mentalidad policial para su trabajo”, continuó. “No creas que alguna vez vas a resolver completamente el problema. Sea como un policía de barrio que sabe que su ciudad está llena de delincuencia, gran parte de la cual no pueden detener, y continúa a su alrededor. Pero todos los policías agachan la cabeza, hacen el mejor trabajo que pueden, y si eliminan el crimen frente a ellos lo mejor que pueden, entonces han hecho un gran trabajo”.
“Si no quiere agotarse, restablezca sus expectativas, haga el mejor trabajo que pueda dentro de lo que puede controlar y mida su éxito en lo que puede impactar”, aconsejó.
Predicción ambiciosa
Otra predicción de Forrester: más del 50 % de los directores de riesgos reportarán directamente al director ejecutivo de su organización.
En 2022, el riesgo se convirtió en el tema dominante en las conferencias de seguridad como Black Hat, señalaron los analistas. Ha superado el cumplimiento como el principal impulsor de la inversión en tecnología de gobierno, riesgo y cumplimiento a medida que ha aumentado el nivel de riesgo para las empresas.
También señalaron que las prioridades de riesgo de las empresas están pasando del cumplimiento a la resiliencia. Los ejecutivos y las juntas buscan a los CRO para ayudar a identificar nuevas oportunidades comerciales.
La Iniciativa ERM y el estudio El estado de la supervisión del riesgo de 2022 de AICPA muestran que el 44 % de las empresas tienen una CRO, y el 47 % de ellas reportan al director ejecutivo, agregaron. Para garantizar que ERM obtenga el nivel necesario de visibilidad y apoyo ejecutivo, más CRO informarán a los directores ejecutivos en 2023, señalaron.
Jason Hicks, CISO de campo y asesor ejecutivo de Fuego de carbónun proveedor de servicios de asesoramiento sobre seguridad cibernética en Westminster, Colo., consideró que la predicción del 50 % de Forrester era un poco ambiciosa.
“Los ejecutivos de seguridad y riesgo han estado presionando por este cambio durante años con resultados mediocres”, dijo a TechNewsWorld. “La política interna de la empresa es una barrera bastante importante en este caso”.
“Esperaría ver más ejecutivos de seguridad reportando al CEO, pero no el 50% en el próximo año”, dijo. “También ampliaría los títulos para incluir CISO y CSO, ya que el título de CRO prevalece más en los servicios financieros y es posible que no exista en otras verticales como una función independiente”.
Entrar en el negocio de MDR
Forrester también predijo que al menos tres suscriptores de seguros cibernéticos adquirirán un proveedor de detección y respuesta administrada (MDR) en 2023.
Si bien los proveedores de seguros introdujeron procesos de suscripción más rigurosos en 2022, todavía existen puntos ciegos de aumento de las primas y coberturas reducidas, explicaron los analistas.
Esperan que las aseguradoras avancen agresivamente hacia la ciberseguridad mediante la adquisición de firmas MDR, muchas de las cuales buscarán salir de un mercado que se ha vuelto muy competitivo.
Hicks estuvo de acuerdo con los pronosticadores de Forrester. “Es una buena manera de agregar ARR [Absolute Risk Reduction] en su mezcla de ingresos”, dijo.
“Ya hemos visto a Aon y otros comprar empresas de respuesta a incidentes, por lo que esta es otra inversión sinérgica para las aseguradoras”, continuó. “También podría ser una buena manera de gestionar los desafíos de personal, ya que muchas de las empresas de MDR también cuentan con personal de respuesta a incidentes”.
