Siber güvenlik işleri, özellikle profesyoneller yönetim basamaklarında yükseldikçe iyi maaş alır. CISO’ların maaşları yılda 400.000 ila 1 milyon dolar arasında değişmektedir.
Ancak, deyişin de dediği gibi, para mutluluk veya iş tatmini satın alamaz. IANS ve Artico Search’ün araştırmasına göre, dört CISO’dan üçü 2023’te iş değişikliğini düşündü.
CISO’lar unvan olarak C-suite’te kabul gördüler ancak kurumsal liderlikte değil. Güvenlik liderleri, iş tatminsizliğine katkıda bulunan siber olaylar ve uyumluluk ihlalleri için günah keçisi görevi görebilirler.
Raporda, “Düzenleyiciler ve savcılar artık CISO’ları kuruluşları adına şeffaflık, hatta dolandırıcılık konusunda sorumlu tutuyor” ifadeleri yer aldı.
Pathlock CEO’su Piyush Pandey, e-posta yoluyla yaptığı açıklamada, CISO’ların siber güvenlik risklerinin ciddiyetini kavrayamayan liderlik ekipleriyle uğraşırken kişisel sorumluluk ve itibar sorunlarıyla da mücadele etmek zorunda olduklarını söyledi.
Pandey, “Bu sorunların günlük güvenlik operasyonlarının getirdiği baskıyla birleştirilmesi ve buna uygun bir tazminat artışının olmaması önemli bir caydırıcı etken olacaktır” dedi.
CISO’lar arasında azalan iş memnuniyetinin etkisi
Veri koruma ve gizlilik konusunda artan düzenleyici gereklilikler ve büyüyen BT genel kontrolleri listesiyle, CISO’ların omuzlarındaki ağır yük tükenmişliğe yol açıyor. Bu, Critical Start’taki CISO George Jones’un bizzat tanık olduğu bir sorun.
Jones, “Akranlarımın iş-yaşam dengesi ve kariyer gelişimi konusunda zorluk çektiğini görüyorum” dedi.
Jones, CISO memnuniyetinin eksikliğinin kurumsal güvenlik açısından önemli sonuçlar doğurabileceğini de sözlerine ekledi ve şunları ekledi:
- Azalan etkinlik: Memnun olmayan bir CISO, siber güvenlik risklerini yönetme ve azaltma rolünü üstlenmek konusunda daha az motive olabilir.
- Tutma zorlukları – Son derece memnuniyetsiz CISO’lar rollerini erken terk edecek ve bu da daha yüksek ciro oranlarına ve organizasyonda istikrarsızlığa yol açacaktır. Bu ayrıca liderlik ve süreçte potansiyel boşluklar yaratabilir.
- Kültürel etki – CISO’lar bir organizasyonun güvenlik kültürünü şekillendirmede ve çalışanlar arasında farkındalık yaratmada önemli bir rol oynarlar. Memnuniyetsizlik, bir organizasyonda güçlü bir güvenlik kültürü oluşturma yeteneklerini etkileyebilir.
- Güvenlik açığı artıyor – Memnuniyet eksikliği, siber güvenlik girişimlerine ayrılan kaynakların yetersizliğine de yol açabilir ve kuruluşları siber tehditlere ve ihlallere karşı daha savunmasız hale getirebilir.
CISO’lar ile liderlik arasındaki engelleri yıkmak
CISO’lar için tanımlanmış bir liderlik rolünün olmaması iş memnuniyetini zedeliyor. Şirketin yönetim kuruluna daha fazla erişimi olan CISO’lar işlerinden ve güvenlik taleplerinin ele alınmasından daha fazla memnuniyet bildiriyor.
IANS ve Artico Arama raporunda, “Yönetim kurulu katılımı olmayanların yalnızca %28’i memnunken, yönetim kuruluyla en azından seyrek veya geçici olarak iletişim kuranların yalnızca %57’si memnun” bulundu.
Liderlik toplantılarında CISO’lar ve siber güvenlik göz ardı edildiğinde, kuruluşlar siber güvenlik konusunda en iyi uygulamaları benimsemekte ve siber güvenliği şirket kültürlerine anlamlı bir şekilde entegre etmekte zorluk çekeceklerdir.
İşletmeler için öncelik, güvenlik ile iş liderleri arasındaki engelleri ortadan kaldırmak olmalıdır.
Bu, siber güvenlik girişimlerinin proaktif ve düzenli olarak tartışılması gereken tüm yönetim kurulu toplantılarında CISO’lara masada bir yer vermekle başlar. Kuruluşlar ayrıca proaktif siber güvenlik en iyi uygulamalarının ve yeterli fonlu siber güvenlik ekiplerinin ve programlarının ucuz olmadığı gerçeğini de kabul etmelidir. Asla da olmayacaklardır.
Pandey, “Yönetim kurulu düzeyindeki karar vericiler, bir ihlalden sonra reaktif harcamalardan ziyade önceden yapılan yatırımın daha uygun maliyetli olduğunu ne kadar erken anlarsa, siber güvenliğe yönelik uygun yatırım ve finansman açısından önemli ilerleme kaydedilecektir” dedi.
CISO’ların geleceği muhtemelen gelişen siber güvenlik tehditleri, kurumsal öncelikler, düzenleyici değişiklikler ve işin zorluklarını ele almak için alınan önlemlerin etkinliği gibi faktörlere bağlı olacaktır.
Jones, “Bu durum geleceği tahmin etmeyi zorlaştırıyor, ancak iş yükü ve stres seviyelerinin azalması pek olası değil, bu da stres seviyelerinin de buna ayak uyduracağı anlamına geliyor” dedi.