CISO rolü büyümeye ve genişlemeye devam ediyor, ancak güvenlik yöneticilerinin hedeflerine ulaşmasını engelleyebilecek veya pozisyonları tamamen değiştirmeye çalışan engeller olmadan değil.
IANS Kıdemli Araştırma Direktörü Nick Kakolowski, “CISO işi organizasyondan organizasyona çok farklı olabilir” dedi. Mücadele edenler ya CISO’nun stratejik bir rol olabileceğini ya da denetlenecek çok fazla alana sahip olabileceğini fark etmelerini sağlamak için C-suite ile ilerlemiyorlar ve bu nedenle yanıyorlar.
Kakolowski, Cisos’un iki kohorta düştüğünü görüyor: takdir edilmeyen veya aşırı yüklenen yöneticiler.
Birincisi, olgun bir güvenlik programını ilerletmeye çalışan ancak “bir işletmenin Güvenliğin rolünü ve etkileme yeteneğini henüz gerçekleştirmediği bir durumla” ile yüzleşen CISO’lar. “Gerçekten yokuş yukarı bir savaşla mücadele ediyorlar.”
Kakolowski, bu CISO’lar çapraz fonksiyonel projeler bulmaya ve “iş liderleriyle ilişkiler kurmaya” çalışabilir. Bu, yapay zeka veya yönetişim, risk ve uyumluluk olanlar gibi yönlendirme komiteleri aracılığıyla “iş liderlerini göstermek için olabilir. [CISOs] Masaya tamamen iş düzeyinde değerli bir şey getirin. ”
Değerli CISO’lar daha küçük kuruluşlarda daha yaygındır. IANS Research ve Artico Search 2025 State of the CISO raporuna göre, CISOS’un yaklaşık yarısı aylık veya üç ayda bir kuruluyla ilgileniyor. Yıllık geliri 10 milyar doları aşan şirketler için, CISO’ların neredeyse üçte ikisi en az üç ayda bir yönetim kurulu ile etkileşime giriyor.
Ancak yıllık gelirleri 400 milyon doların altındaki kuruluşlarda, sadece% 37’si aylık veya üç aylık yönetim kurulu katılımlarını bildirdi; ve% 42’si, onlarla buluşurlarsa, tahtalarıyla geçici olarak toplanırlar.
SecurityScorecard’dan Ciso Steve Cobb, yönetim kuruluyla iletişim kurmak için mücadele eden Cisos, zorluklarının iş riskine nasıl dönüştüğünü açıklayan bir hikaye anlatmalı. Veriler de bu hikayeyi anlatmaya yardımcı olabilir, ancak üst düzey liderlerin sindirebileceği bir formatta olmalıdır.
Çubuk grafikler ve grafikler her zaman risk sunmanın en iyi yolu değildir. Cobb, “Her zaman cevaplardan daha fazla soruya neden oluyorlar ve karışıklık ve hayal kırıklığına yol açıyorlar, dedi Cobb.” CISO’lar, gelir ve marka itibarı gibi şeyler hakkında işlem yapılabilir bilgiler sağlayarak daha etkili olabilir.
Yük canavarı
İkinci kohort, Güvenliğin önemini fark eden, ancak şimdi çok daha fazlasını yapması bekleniyor.
“Kapsam sürünmesi gerçekten kontrolden çıkıyor,” dedi Kakolowski.
Raporunda IANS, 10 CISO’dan dokuzunun güvenlik operasyonları, mimarlık ve mühendislik, yönetişim, dijital risk ve uyumluluk dahil olmak üzere Infosec alanlarından sorumlu olduğunu buldu.
Bu sorumluluklar geleneksel CISO rolüne girdiği için bu şaşırtıcı değil.
Ancak, IANS ayrıca CISO’ların% 50 ila% 99’unun kimlik ve erişim yönetimi, uygulama güvenliği ve bulut güvenliğini içeren bir kapsamı olduğunu buldu. Ankete katılan CISO’ların çoğunluğu, iş sürekliliği, üçüncü taraf risk yönetimi ve ürün güvenliği gibi daha fazla iş riski işlevi üstlenmiştir.
Hepsi bu değil. Aynı raporda, IANS ve Artico, CISO’ların yarısına kadar kurumsal risk yönetimini denetlediğini ve fiziksel güvenlik, gizlilik veya sahtekarlık koruması gibi daha fazla güvenlik işlevini üstlendiğini veya BT yığınının bir kısmına sahip olduğunu buldular.
Şu anda AI, birleşme ve satın alma güvenlik, veri yönetişimi, kapsamlı BT gözetim, dijital dönüşüm ve yenilik dahil olmak üzere yeni alanları kapsayan 4’te 1’den az daha küçük bir grup var.
Bu sorumluluklar CISOS’un bir kuruluş üzerinde etkisini sürdürmesine yardımcı olabilir, ancak bir CISO’nun plakasına çok fazla şey koyabilirler. Cobb, “CISO’lar AI ve büyük dil modellerinin iş kullanımı ile mücadele ediyor ve mücadele etmeye devam ediyor” dedi.
Organizasyon, bu yeni teknolojilerin vaat edilen verimlilik faydalarını isteyebilir, ancak bunun nasıl işe yarayacağını anlamak CISOS’a bırakılmıştır. “CISO’lar AI’nın giriş ve çıkışlarını ve kullanıcılarının onu nasıl kullandıklarını ve kontrolü ve kullanımı nasıl koruyacaklarını anlamalıdır. Zaten yoğun bir güne ekstra iş ekliyor, ”dedi Kakolowski.
Kakolowski, bazı cisos “örgüt tarafından neredeyse yararlanıyor” dedi. İşletmelerin delege etmesi gerektiğini söyledi. “Daha fazlasını üstlenebilen işlevlerin başlarına sahip olduğunuzda, CISO’yu daha geniş bir görev yelpazesini üstlenmek ve işi daha fazla etkilemek için serbest bırakıyor.”
Bütçe, maaş ve tükenmişlik
Kakolowski, hala artmasına rağmen bütçeler “azalıyor” dedi. Araştırmacılar, bir IANS ve Artico 2024 kıyaslama raporu, ortalama güvenlik bütçesi büyümesinin 2023’te% 6’dan 2024’te% 8’e yükseldiğini buldular. Ancak bu, bütçelerin% 17 büyüme gördüğü 2022’den itibaren belirgin bir büyüme yavaşlamasını temsil ediyor.
Geçen yıl, CISOS’un dörtte biri sabit bütçeler bildirirken,% 12’si bütçelerinin düştüğünü söyledi.
Güvenlik bütçeleri daha önce olduğu gibi sıçrama ve sınırlarla büyümez, ancak bu genellikle bir kuruluşun olgunluğunun bir sonucudur. Kakolowski, “Kuruluşlar ilk kez yatırım yapmıyor, aynı zamanda son birkaç yıldır kurumsal ortamlar arasında genel muhafazakar harcamaların bir yansıması” dedi.
Kakolowski’ye göre, satıcılar da bu bütçeyi artarak bu bütçeyi artarak fiyatları artırıyor. Bu, ucuz olmayan AI çözümlerini entegre etme yarışından karmaşıklaşıyor.
Yetenek kıtlığı da devam ediyor. “Yetenekli, deneyimli personel için gerçekten rekabet edecek veya yetenekli deneyim personelini korumak için yeterli bütçe yok” dedi. “CISO’lar, bütçede doğru insanları bulma ve bu insanları getirmek veya onları korumak için kaynakları bulma engellerine giriyor.”
CISO maaşları da ekstra iş yükü ile birlikte büyümez. IANS, Cisos’un sadece% 3’ünün daha geniş bir sorumluluk kapsamı almaya yönelik yükselişlerini tebeşirlediğini buldu. Raporda ayrıca, CISO’ların% 7’sinin öncelikle başka bir yere bir işe inerek daha fazla gelir elde ettiğini, bu da genellikle daha fazla sorumlulukla bir rol üstlenerek eşlik ettiği bir hareket olduğunu buldu.
Bütçe kısıtlamaları, ağır bir iş yükü ve iş memnuniyetsizliği tükenmişliğe yol açabilir, ancak ciro düşük kalır.
Kakolowski, “Cisos, yüzeyde bir hareketi haklı çıkarmak için önemli ölçüde daha iyi iş görmüyor” dedi. Ancak bu, ekonomik büyüme beklentileri ile değişiyor olabilir. “Umarım yükselişteyiz ve 2025’te daha fazla CISO hareketi görmeyi bekliyoruz.”