Araştırma, CISO koltuğunun nispeten sektörden bağımsız olduğunu gösteriyor; CISO’ların %84’ü birden fazla sektörde çalışan bir kariyer geçmişine sahipken, günümüzün CISO’larının teknik uzman olmaktan uzaklaştıkça rollerine daha fazla liderlik getirmesi bekleniyor.
Marlin Hawk Yönetici Ortağı James Larkin, “Günümüzün CISO’ları, teknoloji departmanından daha geniş iş dünyasına ve dış pazara birincil giriş kapısı olarak hareket etmek için geleneksel olarak yalnızca CIO’ya düşen sorumlulukları üstleniyor” dedi. .
“Bu genişleyen kapsam, CISO’ların yönetim kurulu, daha geniş iş dünyası ve hissedarlar ile müşterilerin pazarı için usta iletişimciler olmasını gerektiriyor. CISO’lar iletişim, liderlik ve strateji gibi ‘daha yumuşak’ becerilerde gelişerek bugünün yeni endüstri standartlarını belirliyor ve tahmin ediyorum ki yarının yönetim kurulu yöneticileri olacaklar.”
Rapordan elde edilen önemli bulgular şunları içerir:
- CISO profilleri önemli ölçüde değişti— Yüksek lisans derecesi ile analiz edilen CISO’ların %36’sı işletme veya yönetim alanında daha yüksek bir derece aldı. Bu, geçen yıla göre %10 düştü (2021’de %46). Tersine, STEM konularında daha yüksek derece alan CISO’ların %61’ine kadar bir artış oldu (2021’de %46 idi).
- Daha fazla CISO şirket içinde işe alınıyor—Küresel CISO’ların yaklaşık %62’si başka bir şirketten işe alındı, bu da şirket içinde işe alınan CISO sayısında hafif bir artışa işaret ediyor (2021’de %36’ya kıyasla şirket içinde işe alınanların %38’i), ancak uygun ardıllarda büyük bir boşluk var.
- CISO devir oranları düştü— ancak, küresel CISO’ların %45’inin mevcut rollerinde iki yıl veya daha az bir süredir görev yapmasıyla, yıldan yıla %18 ciro ile 2021’deki %53’ten düşüşle hala yüksek.
CISO rolleri daha karmaşık hale gelmeye devam ediyor
“Kuruluşunuzu aktif olarak savunmuyorsanız, CISO unvanına sahip olmamanız gerektiğini söyleyebilirim; siperlerde olmalısınız,” dedi Jack Henry Associates’ten CISO’dan Yonsy Núñez. “Ayrıca son sekiz ila 10 yılda CISO rolünün CISO artı rolü haline geldiğini hissediyorum: CISO artı mühendislik, CISO artı fiziksel güvenlik, CISO artı operasyonel esneklik veya CISO artı ürün güvenliği. Sonuç olarak, siber güvenlik, füzyon merkezleri, SOC ve liderlikle harika bir iş çıkaran birden fazla CISO gördük. Bu, CISO ofisinin bir iş kolaylaştırıcı ve aynı zamanda dönüşümsel bir teknoloji işlevi haline gelmesinin yolunu açtı.”
Tecrübeli bir siber güvenlik yöneticisi olan Kevin Brown şunları ekledi: “Bu noktada, küresel ticareti uyumlu bir şekilde yapmayı eskisinden daha zor hale getiren kendi veri gizliliği mevzuatına sahip 100’den fazla ülke var. Sonuç olarak, çoğu kuruluşta veri görevlileri, CISO’lar, hukuk ekipleri ve pazarlama arasında daha sıkı bir bağlantı ve işbirliği ruhu görüyoruz. CISO’ların, politika yazarken bunları dikkate alabilmeleri için işin bu farklı sektörlerine yönelik tüm öncelikler hakkında bilgi sahibi olmaları gerekiyor; bu, eskisinden daha karmaşık bir iş.”
Daha fazla kuruluş CISO’ları kendi içinden atamaktadır
Araştırma, 2021’e (%64) kıyasla geçen yıl dışarıdan işe alınan CISO’ların yüzdesinde (%62) bir düşüş olduğunu gösteriyor ve bu da bir kuruluşun zaten iş içinde faaliyet gösteren bir sonraki CISO’suna doğru potansiyel bir kaymaya işaret ediyor.
Larkin, “Bilgi güvenliğinin önemi arttıkça, yönetim kurulları, düzenleyiciler ve hissedarlar daha fazla kontrol, daha iyi risk yönetimi ve bir şirketi ve varlıklarını savunmaya odaklanan daha fazla insan ve departman talep ettiler. Neyse ki, bunun CISO pozisyonu için daha fazla dahili ardıllık yaratma gibi olumlu bir yan etkisi oldu; kuruluşlar risk ve kontrol odaklı yetenekleri CISO ofisinden daha fazla yerde arayabilirler.”
Larkin, “Artık adaylar, diğerlerinin yanı sıra BT Riski, Operasyonel Risk Yönetimi, BT Denetimi, Teknoloji Riski ve Kontrollerinden CISO rolüne terfi ettiriliyor” diye ekledi. “Liderlik düzeyinde birden fazla gözetlemenin olması düzenleyicilere rahatlık sağlamakla kalmıyor, aynı zamanda ardıl yetenek havuzunun boyutunu büyük ölçüde artırıyor ve bir bütün olarak bilgi güvenliği endüstrisinin geleceğe hazır olmasına yardımcı oluyor.” ”
CISO devir oranları birkaç nedenden dolayı hala yüksektir
“O kadar da gizli olmayan sır, hiçbir CISO’nun bir veya iki yılda çok şey başaramayacağıdır. Neiman Marcus Group CISO’su Shamoun Siddiqui, “Çoğu CISO üç nedenden biri nedeniyle rol değiştiriyor” diyor.
“Birincisi, becerileri eşit düzeyde değil ve şirket tarafından sessizce dışlanıyorlar. Güvenlik liderlerine yönelik son derece yüksek talep nedeniyle, genellikle bireysel katkıda bulunanlar CISO rolüne yükseltilir ve aylar içinde bunalırlar. İkincisi, gerçekçi olmayan beklentilerle aşılamaz bir görevleri var ve meslektaşlarından ve şirket liderliğinden destek eksikliği var. Şirket, siber güvenliğe sözde bağlılık gösteriyor olabilir, ancak bunu bir öncelik haline getirecek kadar ileri görüşlü olmayabilir. Üçüncüsü, başka bir yerden gelen daha iyi bir teklifin cazibesine kapılırlar. Güvenlik uzmanları ve güvenlik liderleri konusunda o kadar az eksiklik var ki, şirketler CISO’lara giderek daha yüksek maaşlar ve yan haklar sunmaya devam ediyor.”
Yüksek ciroya yol açan bir diğer faktör, işe alım sürecinde inceleme ve durum tespiti eksikliğinin bir sonucu olan kötü işe alma kararlarıdır. Acil ihtiyaç, daha kapsamlı bir incelemeden daha ağır basabilir, ancak başka, daha uygun adaylar varsa, işe alınan bir CISO’yu hızlı bir şekilde takip etmenin olumsuz etkileri olabilir.