Chief information security officers of ciso’s dragen steeds meer juridische en wettelijke aansprakelijkheid voor datalekken. Maar slechts weinigen krijgen de erkenning of ondersteuning die ze nodig hebben. Hun jobtevredenheid is het voorbije jaar sterk gedaald en driekwart wil zijn job best vaarwel zeggen. Dat blijkt uit onderzoek van IANS.
Ciso’s worden steeds vaker gevraagd om de verantwoordelijkheden op zich te nemen van wat normaal gesproken zou worden beschouwd als een C-suite rol. Al worden ze bij veel organisaties niet als zodanig gezien of behandeld, zo blijkt uit een nieuw onderzoek onder 663 security verantwoordelijken.
Het wereldwijde onderzoek werd uitgevoerd door IANS in samenwerking met Artico Search en peilde bij ciso’s over verschillende topics met betrekking tot hun functie, hun verantwoordelijkheden en ondersteuning door het management.
Jobtevredenheid naar beneden
Uit de antwoorden bleek dat de verwachtingen voor de ciso-rol bij organisaties in de publieke en private sector drastisch zijn veranderd, onder andere door de toegenomen controle van toezichthouders en de nood aan verantwoording voor beveiligingslekken.
Als voorbeeld wijst het onderzoeksrapport op recente regels van de Securities and Exchange Commission (SEC) die vereisen dat beursgenoteerde bedrijven alle materiële beveiligingsincidenten binnen vier dagen na het incident melden. ‘Toezichthouders houden ciso’s nu verantwoordelijk voor transparantie en zelfs fraude namens hun organisaties’, aldus het rapport van IANS en Artico. ‘Ondanks dat de verwachtingen over hun functie op zich zijn verheven tot C-Level, worstelen ciso’s om als zodanig te worden gezien’, klinkt het in het rapport.
Dat maakt de job van ciso steeds zwaarder en er blijkbaar ook niet prettiger op. De tevredenheidsscores van dit jaar wijzen op een toegenomen bezorgdheid onder ciso’s. Tussen 2022 en 2023 daalde het aandeel ciso’s dat tevreden is in hun baan en bedrijf met 10 procentpunt tot 64 procent. Het aandeel dat openstaat voor een verandering van job steeg met 8 procentpunt tot 75 procent.
Techneuten
Uit het onderzoek bleek voorts onder meer dat, terwijl meer dan 63 procent van de ciso’s een functie op vice-president- of managementniveau heeft, slechts 20 procent op C-suite niveau zit, ondanks het feit dat ‘chief’ in hun titel staat. Bij organisaties met een omzet van meer dan één miljard dollar is dat aantal zelfs nog kleiner, namelijk 15 procent. Vanuit het oogpunt van rapportage bevindt 90 procent van de ciso’s zich op minstens twee of meer organisatorische niveaus verwijderd van de ceo en de C-suite.
Een van de redenen waarom veel organisaties de rol van ciso nog steeds niet zien als behorend tot de C-suite is wat Nick Kakolowski, onderzoeksdirecteur bij IANS, omschrijft als historische vooringenomenheid. ‘Ciso’s worden – vaak onterecht – aanzien als techneuten die de taal van de business niet spreken.’ Maar vaak gaat het ook om pure traagheid. ‘Grote, complexe organisaties hebben tijd nodig om zich aan te passen aan nieuwe uitdagingen.’
Toch lijkt een upgrade volgens hem aangewezen. ‘Deel uitmaken van het topmanagement geeft de ciso een beter bewustzijn en zicht op waar de organisatie naartoe gaat. En het maakt het makkelijker om met andere belanghebbenden samen te werken aan digitaal risicomanagement.’