CISOs kämpfen um den C-Suite-Status, obwohl die Erwartungen in die Höhe schnellen

Von CISOs wird zunehmend verlangt, die Verantwortung zu übernehmen, die normalerweise als Führungsposition angesehen wird, in vielen Unternehmen jedoch nicht als solche angesehen oder behandelt wird, wie eine neue Umfrage unter 663 Sicherheitsmanagern ergab.

Die Umfrage wurde von IANS in Zusammenarbeit mit Artico Search durchgeführt und befragte CISOs zu einer Vielzahl von Themen im Zusammenhang mit ihrer Arbeit, ihren Verantwortlichkeiten, der Managementunterstützung und anderen Themen.

Ganze 75 % von ihnen gaben an, dass sie einen Jobwechsel anstreben.

Die Erwartungen an die CISO-Rolle haben sich geändert

Die Antworten zeigten, dass sich die Erwartungen an die Rolle des CISO bei Organisationen des öffentlichen und privaten Sektors dramatisch verändert haben, unter anderem aufgrund der zunehmenden Kontrolle durch die Aufsichtsbehörden und der wachsenden Anforderungen an die Rechenschaftspflicht bei Sicherheitsverstößen.

Als Beispiel dient die Umfragebericht wies auf Regeln hin, wie sie von der angenommen wurden Securities and Exchange Commission (SEC) im vergangenen Juli, wonach börsennotierte Unternehmen alle wesentlichen Sicherheitsvorfälle innerhalb von vier Tagen nach dem Vorfall melden müssen. Ein weiteres Beispiel ist die Ausgabe durch das New York State Department of Financial Services (NYDFS). neue Anforderungen an die Cybersicherheit für Finanzdienstleistungsunternehmen.

„Regulierungsbehörden machen CISOs jetzt für Transparenz und sogar Betrug im Namen ihrer Organisationen verantwortlich“, heißt es im IANS- und Artico-Bericht. Es besteht eine wachsende Erwartung, dass der CISO in erster Linie als Funktion des Geschäftsrisikomanagements fungiert, bei Führungssitzungen eine klare Stimme hat und in direkter Kommunikation mit dem CEO und der C-Suite steht. Doch „obwohl die Rollenerwartungen auf die C-Ebene gehoben werden, haben CISOs Schwierigkeiten, als solche angesehen zu werden, und die Rolle des CISO ist häufig nicht Teil des oberen Führungsteams.“

Die Umfrage ergab beispielsweise, dass mehr als 63 % der CISOs zwar eine Position auf Vizepräsidenten- oder Direktorenebene innehaben, sich jedoch nur 20 % auf der C-Suite-Ebene befinden, obwohl der Titel „Chef“ enthält. Bei Unternehmen mit einem Umsatz von mehr als 1 Milliarde US-Dollar ist dieser Anteil mit 15 % sogar noch geringer. Aus Berichtssicht sind besorgniserregende 90 % der CISOs mindestens zwei oder mehr Organisationsebenen vom CEO und der C-Suite entfernt. Nur 50 % nehmen vierteljährlich Kontakt mit dem Vorstand ihres Unternehmens auf. Ein Viertel der Befragten nimmt nur ein- oder zweimal im Jahr Kontakt mit dem Vorstand auf, 12 % treffen sich nur auf Ad-hoc-Basis mit dem Vorstand und 13 % geben an, überhaupt keinen Kontakt mit dem Vorstand zu haben.

Fehlende Anleitung zur CISO-Verantwortung

In vielen Fällen bekommen CISOs, die von ihrem Vorstand klare Risikohinweise wünschen, diese nicht. Knapp mehr als ein Drittel (36 %) gaben an, dass ihr Vorstand ihnen ausreichend klare Einblicke in die Risikotoleranzniveaus ihrer Organisation bietet, sodass sie darauf reagieren können.

„Die Entwicklung der CISO-Rolle hat sich in den letzten Jahren dramatisch beschleunigt“, sagt Nick Kakolowski, Forschungsdirektor bei IANS. Da Unternehmen immer mehr Betriebsabläufe digitalisieren, übernehmen CISOs mehr Verantwortung und sind de facto zu Eigentümern digitaler Risiken geworden, sagt er. „[Aber] Organisationen haben nicht herausgefunden, wie sie sie unterstützen und stärken können, wenn der Umfang der Rolle wächst.“

In der CISO-Gemeinschaft wächst in den letzten Jahren die Besorgnis über die steigenden Erwartungen an die Rolle, auch wenn ihre Fähigkeit, diese Erwartungen zu erfüllen, weitgehend unverändert geblieben ist. Vorfälle wie einer im vergangenen Oktober, bei dem die SEC Tim Brown, CISO von SolarWinds, angeklagt hat Betrug und interne Kontrollfehler über den Verstoß im Jahr 2020 im Unternehmen und wo ein Richter verurteilte den ehemaligen Uber-CISO Joe Sullivan wegen eines Verstoßes im Jahr 2016 zu einer dreijährigen Bewährungsstrafe verurteilt wurden, haben diese Bedenken geschürt. Zwar gibt es einige Debatten darüber, ob die Maßnahmen gegen die Sicherheitskräfte bei diesen Vorfällen gerechtfertigt waren, doch viele haben argumentiert, dass es unfair sei, sie allein für die Verstöße verantwortlich zu machen.

Historische Voreingenommenheit gegenüber Sicherheit als C-Level-Funktion

Einer der Gründe, warum viele Organisationen die Rolle des CISO immer noch nicht als Teil der C-Suite wahrnehmen, sei historische Voreingenommenheit, sagt Kakolowski. „CISOs werden – oft zu Unrecht – oft als Technikfreaks wahrgenommen, die die Sprache des Unternehmens nicht sprechen“, sagt er und fügt hinzu, dass sie bei der Kompetenzentwicklung oft dazu neigen, isoliert zu bleiben. Die Bemühungen dort konzentrieren sich oft eher auf technische Fähigkeiten und Teamführung als auf die Entwicklung von Führungskompetenzen.

Ein Teil davon ist auch Trägheit. Große, komplexe Organisationen brauchen Zeit, um sich an neue Herausforderungen und organisatorische Veränderungen anzupassen.

„Die größte Herausforderung besteht darin, eine Abstimmung zwischen den CISOs und dem Rest der Führungsebene zu finden“, sagt Kakolowski. „Wirtschaftsführer beginnen sich des Risikos bewusst zu werden, dass CISOs als Führungskräfte nicht ausreichend eingesetzt werden, und es besteht für CISOs die Möglichkeit, ihre Fähigkeit unter Beweis zu stellen, der Organisation über das Backoffice hinaus einen Mehrwert zu bieten.“

Kakolowski argumentiert, dass es viele Vorteile haben kann, die Rolle des CISO dorthin zu heben, wo sie hingehört: in die C-Suite. Durch die Zugehörigkeit zum Top-Management erhält der CISO ein besseres Bewusstsein und einen besseren Einblick in die Richtung, in die sich das Unternehmen bewegt, und erleichtert ihm die Zusammenarbeit mit anderen Stakeholdern beim digitalen Risikomanagement.

„Es versetzt den CISO in die Lage, Risiken einen Schritt voraus zu sein und so die Reibung zu verringern, die bei der Risikominderung entstehen kann“, stellt er fest.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/cybersecurity-operations/cisos-struggle-csuite-status-expectations-skyrocket