Chief information security officers of ciso’s dragen steeds meer juridische en wettelijke aansprakelijkheid voor datalekken. Maar slechts weinigen krijgen de erkenning of ondersteuning die ze nodig hebben. Hun jobtevredenheid is het voorbije jaar sterk gedaald en driekwart wil zijn job best vaarwel zeggen. Dat blijkt uit onderzoek van IANS.
Ciso’s worden steeds vaker gevraagd om de verantwoordelijkheden op zich te nemen van wat normaal gesproken zou worden beschouwd als een C-suite rol. Al worden ze bij veel organisaties niet als zodanig gezien of behandeld, zo blijkt uit een nieuw onderzoek onder 663 security verantwoordelijken.
Het wereldwijde onderzoek werd uitgevoerd door IANS in samenwerking met Artico Search en peilde bij ciso’s over verschillende topics met betrekking tot hun functie, hun verantwoordelijkheden en ondersteuning door het management.
Jobtevredenheid naar beneden
Uit de antwoorden bleek dat de verwachtingen voor de ciso-rol bij organisaties in de publieke en private sector drastisch zijn veranderd, onder andere door de toegenomen controle van toezichthouders en de nood aan verantwoording voor beveiligingslekken.
Als voorbeeld wijst het onderzoeksrapport op recente regels van de Securities and Exchange Commission (SEC) die vereisen dat beursgenoteerde bedrijven alle materiële beveiligingsincidenten binnen vier dagen na het incident melden. ‘Toezichthouders houden ciso’s nu verantwoordelijk voor transparantie en zelfs fraude namens hun organisaties’, aldus het rapport van IANS en Artico. ‘Ondanks dat de verwachtingen over hun functie op zich zijn verheven tot C-Level, worstelen ciso’s om als zodanig te worden gezien’, klinkt het in het rapport.
Dat maakt de job van ciso steeds zwaarder en er blijkbaar ook niet prettiger op. De tevredenheidsscores van dit jaar wijzen op een toegenomen bezorgdheid onder ciso’s. Tussen 2022 en 2023 daalde het aandeel ciso’s dat tevreden is in hun baan en bedrijf met 10 procentpunt tot 64 procent. Het aandeel dat openstaat voor een verandering van job steeg met 8 procentpunt tot 75 procent.
Techneuten
Uit het onderzoek bleek voorts onder meer dat, terwijl meer dan 63 procent van de ciso’s een functie op vice-president- of managementniveau heeft, slechts 20 procent op C-suite niveau zit, ondanks het feit dat ‘chief’ in hun titel staat. Bij organisaties met een omzet van meer dan één miljard dollar is dat aantal zelfs nog kleiner, namelijk 15 procent. Vanuit het oogpunt van rapportage bevindt 90 procent van de ciso’s zich op minstens twee of meer organisatorische niveaus verwijderd van de ceo en de C-suite.
Een van de redenen waarom veel organisaties de rol van ciso nog steeds niet zien als behorend tot de C-suite is wat Nick Kakolowski, onderzoeksdirecteur bij IANS, omschrijft als historische vooringenomenheid. ‘Ciso’s worden – vaak onterecht – aanzien als techneuten die de taal van de business niet spreken.’ Maar vaak gaat het ook om pure traagheid. ‘Grote, complexe organisaties hebben tijd nodig om zich aan te passen aan nieuwe uitdagingen.’
Toch lijkt een upgrade volgens hem aangewezen. ‘Deel uitmaken van het topmanagement geeft de ciso een beter bewustzijn en zicht op waar de organisatie naartoe gaat. En het maakt het makkelijker om met andere belanghebbenden samen te werken aan digitaal risicomanagement.’
‘Ciso’s worden – vaak onterecht – aanzien als techneuten die de taal van de business niet spreken.’
Je kunt het ook omdraaien. De business begrijpt de CISO rol niet.
“meer juridische en wettelijke aansprakelijkheid voor datalekken”, maar de orginasatie wil CISO niet bij hoger management betrekken ?
Hoe zou dat trouwens gaan wettelijke aansprakelijkheid ? CISO die firewall wil dichtzetten, maar de business die flexibiliteit belangrijker vindt.. Gevalletje : zei ik toch, zie je wel ?
Verantwoording afschuiven is trouwens een prima algemeen principe. De ciso die verwijst naar algemene externe richtlijnen, geldend voor de specifieke vakgebieden. De Subject Matter Experts van die vakgebieden die daarvan op te hoogte zouden moeten zijn, voeren het uit. Of niet, he. Want druk druk druk en moet eerst die ouwe ssl versie eruit, algemene security patches achterstand ingelopen worden, cloud mogelijkheden onderzoeken of toch die 2FA overal afdwingen..
Geen tijd en geld voor controle, handhaving. Wie zou trouwens wie moeten controleren..
Misschien omscholen tot QA officer. Dan ben je ook eigenlijk ook wel ergens aansprakelijk voor, maar gelukkig neemt toch niemand een QA officier serieus 😉 2 keer per jaar write-only docje met aanbevelingen. Kun je ook tot hoge leeftijd volhouden. En dan klinkt leven lang rapportjes schrijven een stuk beter dan een leven lang leren. Even paar jaar wachten tot iemand verzint dat QA ook bij de devops teams thuishoort en je kunt met mooi oprotpremie afscheid nemen.