Onderzoeksbureau Gartner ziet vijf vaardigheden die bepalen of een chief information security officer (ciso) goed presteert. Mocht je ciso zijn en jezelf langs de meetlat willen leggen van de marktvorser, hier zijn ze.
Uit een recent onderzoek onder ciso’s door Gartner, blijkt dat 69 procent van de best presterende ciso’s regelmatig tijd in hun agenda vrijmaakt voor persoonlijke professionele ontwikkeling. Onder slecht presterende ciso’s is dat percentage 36 procent.
‘Naarmate de rol van ciso snel blijft evolueren, wordt het voor security- en risicoleiders belangrijker om tijd vrij te maken voor professionele ontwikkeling’, stelt onderzoeker Chiara Girardi. Volgens haar is het ontwikkelen van nieuwe vaardigheden en kennis ‘essentieel’ om effectief als strategisch adviseur voor een bedrijf te kunnen werken in een vakgebied dat snel verandert.
Uit het onderzoek komt ook naar voren dat 77 procent van de best presterende cico’s binnen de organisatie gesprekken initieert over zich ontwikkelende nationale en internationale veiligheidsnormen, zoals ‘terughacken’ en een bijdrage leveren aan het terugdringen van dreigingen door informatie te delen. Van de ciso’s bij slecht presterende bedrijven doet slechts de helft hieraan mee.
‘Geen enkele organisatie kan volledig beschermd worden tegen elke cyberdreiging’, zegt Girardi. ‘De meest effectieve ciso’s blijven op de hoogte van bestaande en opkomende risico’s, zodat ze het management kunnen voorzien van context rond de belangrijkste bedreigingen waarmee het bedrijf wordt geconfronteerd. Dat helpt ook bij het nemen van beslissingen over investeringen en het aanvaarden van risico’s.
AI en blockchain
63 procent van de best presterende ciso’s houdt zich proactief bezig met het beveiligen van opkomende technologieën zoals kunstmatige intelligentie (ai), machine learning (ml) en blockchain, vergeleken met 38 procent van de slechtst presterende ciso’s.
Gartner ziet dat nu de adoptie van ai toeneemt, ciso’s achterlopen bij het inschatten van de risico’s en impact ervan. Girardi: ‘Bedreigingsactoren zijn ciso’s altijd een stap voor, dus moeten ciso’s proactiever zijn in het begrijpen van de beveiligingsimpact van technologieën zoals generatieve ai en het communiceren van deze risico’s met senior zakelijk leiderschap.’
Ook komt naar voren dat de best presterende ciso’s ‘proactief in gesprek gaan’ met senior besluitvormers in het hele bedrijf, bijvoorbeeld door relaties op te bouwen buiten de context van projecten (65 procent) en door samen te werken om de risicobereidheid van ondernemingen te bepalen (67 procent). Bovendien ontmoeten de meest effectieve ciso’s regelmatig drie keer zoveel collega’s buiten de ict-kring dan ict-collega’s. Het gaat dan over hoofden van de verkoop- of marketingafdeling of leidinggevenden van andere bedrijfsonderdelen zonder ict-rol. Gartner: ‘Collega’s zonder it-functie zijn belangrijke partners die beslissingen op het gebied van technologie en cyberbeveiliging met een blik op de bedrijfsvoering bekijken. Door tijd vrij te maken voor het opbouwen van relaties met senior zakelijke besluitvormers in de hele organisatie, kunnen ciso’s een omgeving creëren waarin besluitvormers cyberbeveiliging begrijpen en er zorg voor dragen. Ook zullen ze de implicaties van cyberbeveiliging in hun besluitvorming meewegen.’
Dit doet een succesvolle ciso
Volgens Gartner moet een succesvolle ciso dus over de volgende vaardigheden beschikken. Resumé:
- Initieert discussies over evaluerende wet- en regelgeving om zo voor te blijven en dreigingen de baas te blijven;
- Is proactief bezig met het beveiligen van opkomende technologieën;
- Besteedt regelmatig tijd aan professionele ontwikkelingsactiviteiten;
- Bouwt vooral relaties op met ervaren beslissers binnen de eigen organisatie en doet dit ook buiten de context van projecten;
- Definieert risicobereidheid door samenwerking met beslissingsbevoegden die over de bedrijfsvoering (en niet over ict) gaan.
Verantwoording
De gegevens van het onderzoek naar ciso’s zijn verzameld tussen 2020 en 2023 als onderdeel van een benchmarkonderzoek onder 227 ciso’s. Respondenten werden gemeten op belangrijke gebieden van ciso-effectiviteit, waarbij een derde van de onderzochte groep tot de groep ‘toppresteerders’ werd beoordeeld.
Het onderzoek identificeerde vijf belangrijke gedragingen die de best presterende ciso’s aanzienlijk onderscheiden van de slechtst presterende. Gemiddeld komt elk van deze gedragingen minstens anderhalf keer zo vaak voor bij toppresteerders als bij slechtst presterende bedrijven.
En werkt, binnen de kaders van integrale veiligheid, nauw samen met zijn collega’s van privacy, risk en internal control/audit.
Vanuit de gedachte: weg uit de rollen, processen en silo’s.
Welkom privacy, security en compliance by design.
Daar worden de collega’s bij inkoop, leveranciers/contractmanagement, service/delivery management, systeemontwikkeling en Change Management erg blij en vrolijk van.
Het lijkt gedateerd want blockchain is alweer op zijn retour.
Als een ciso zich ergens mee moet kunnen bezighouden dan is het wel het beheersen van organizational change. Wat een vak op zich is. Dat staat er nu beperkt als bouwt relaties op met beslissers. Maar dat is veel te mager. Informatiebeveiliging kun je puur technisch aanpakken maar dat wordt een fail. De ciso die soft skills beheerst, vakinhoudelijk goed is, de taal spreekt van senior management en organizational change beheerst. Zal bijdragen aan verhogen van digitale veiligheid. En wat niet onbelangrijk is, de ciso zit niet verstopt binnen ict.