カジノサイト
取締役会がサイバーに注目を集める中、CISOの役割は増大する痛みに直面している
最高情報セキュリティ責任者 (CISO) は難問に直面しています。彼らは 2024 年に不安と機会の両方に直面しており、それが新しいレポートの原因であると考えられています。サイバーセキュリティ支出の削減、侵害の増加、生成型 AI ツールの台頭、およびサイバーセキュリティ規則の厳格化開示要件を強調しています。 CISO には、組織レベルでより多くのリーダーシップの役割を担う機会がありますが、多くの CISO は、これらの課題に取り組むためのビジネス管理スキルを備えていません。
その IANS Research と Artico Search は、今日のサイバーセキュリティ リーダーが直面する課題と機会をより適切に評価するために、660 人以上の CISO を調査し、100 人以上の CISO と詳細な対話を実施しました。しかし、報告書では、現在の状況の重みが以下のバランスを欠いていることが判明しました。規制から生じる新たな期待CISO の責任も増大します。
CISO の 76% は主に技術的な背景を持っており、リスク管理は二の次であることが多いが、今日の CISO は純粋に技術的なスキルよりもビジネスの洞察力を優先し、ビジネス リスク部門としての役割を果たすよう求められていると報告書は述べています。この断絶が仕事への不満を引き起こしており、2022 年と比べて上昇しています。その結果、CISO の 75 パーセントが転職を検討しており (2022 年は 67 パーセント)、これはほとんどの CISO が仕事条件の改善を求めていることを示しています。
「過去数年間で CISO の役割の進化は劇的に加速しました」と IANS の研究ディレクターである Nick Kakolowski 氏は言います。 「より多くの CISO が、ビジネス内でより大きなリスクを負うより大きな役割に就くことを求められていますが、組織は役割の範囲が拡大するにつれて CISO をサポートし、権限を与える方法を見つけていません。」
「CISO が通常より高い割合で新しい仕事を探している最も明白な理由は、純粋に経済的—2023 年は、厳しい経済状況で組織が慎重になったため、採用が低調な年でした。」「しかし、CISO が、予算、組織サポート、報酬パッケージの相応の変更がないまま、すでに要求の厳しい役割を担っている中で、期待とプレッシャーの高まりにますます不満を感じていることも目にしています。」
新しい CISO の役割は経営幹部レベルの役職として扱われていますが、組織階層の中で経営幹部レベルにあると報告した CISO はわずか 20% でした。報告書で引用されているケースの 63 パーセントでは、CISO の役割は副社長または取締役レベルの役職であり、CISO の 90 パーセントは CEO から少なくとも 2 つの組織レベルが離れています。 3 分の 2 は、最高情報責任者や最高技術責任者などのテクノロジー部門のマネージャーに直属します。ビジネス中心のレポートラインから削除組織リーダーのリスク見通しに関する洞察。
「現在、市場が新たな期待に向けて修正しているため、CISO には多くのプレッシャーがかかっています。しかし、結局のところ、このプレッシャーは新たなチャンスを意味しています」と Kakolowski 氏は言います。 「これは、CISO が懸命に戦ってきた格言通りのテーブルの席です。これは成長痛であり、企業と CISO が直面する課題が非常に現実的であることは否定しませんが、2023 年は業界にとって前向きな転換点であると振り返ることができます。」
この調査結果では、技術スキルの重視など、従来の CISO の役割の特徴は、現在および将来のリスク環境において組織のニーズを満たせなくなる可能性があり、CISO に経営幹部の中での自分の立場を主張する機会を与えていることが指摘されています。これは多くの CISO にとって課題となるでしょう。特にそう答えたのはわずか 2% であるためです。サイバー以外のスキルとドメインが鍵でしたCISO以前の時代。 CISO 職への主なキャリアパスは、技術系 (76%) とリスク/コンプライアンス系 (22%) の 2 つです。
技術的な背景を持つ CISO はより多くの収入を得ていますが、リーダーシップ スキルの欠如が彼らに打撃を与える可能性があります。
「CISO は次のことができる必要があります効果的にコミュニケーションをとる報告要件を満たし、予算の調整を改善し、明確なリスク許容度のガイダンスを推進するために取締役会と協議した」と報告書には記載されています。
それを達成するには、CISO にはビジネスの洞察力 (取締役会の言葉遣いでリスクについて語るのに必要なスキル、金融リテラシー、技術的脆弱性ではなく経済的リスクや機会費用の観点からリスクを組み立てる能力など) と経営陣の存在感 (経営陣とのやり取りにおいて説得力があり、直接的で、決断力のある能力が必要です。ストーリーテリングなどのスキルを含む、状況認識、取締役会の役割と責任の理解)。
「多くの CISO は、技術的能力とチームのリーダーシップに重点を置いてスキル開発を行っており、ビジネスによって孤立化しています」と Kakolowski 氏は語りますセキュリティ管理。 「経営幹部のスキル開発を加速することが重要です。」
さらに、彼は次のように述べています。シフトのスタイルを設定したり、メッセージングを調整したり、セキュリティ チームの作業をコンテキスト化するCISO にとって、より大きなビジネス戦略の重要性が引き続き高まっています。」
スキルの向上は経済的にも有益です。調査報告書の調査対象となった CISO の 3 分の 2 が調査を完了したか、完了途中であるまたは1 対 1 のエグゼクティブ コーチング プログラムビジネスの洞察力と経営幹部の存在感を高めるため。このようなプログラムに参加する CISO の給与は高く、リーダーシップ スキル開発プログラムを完了していない CISO の給与を 20 万ドル以上上回っています。
「業界には多くのばらつきがあります」とカコロスキー氏は説明します。 「CISO の役割は依然として企業によって大きく異なって定義されています。一部の組織では、CISO は経営幹部との関わりが大きく、キャリアを通じて今日の市場で必要とされるビジネス中心のスキルを構築する機会が与えられてきました。また、別の組織では、CISO はバックオフィスに閉じこもり、経営幹部はサイバー部門から発せられるリスクに関するガイダンスを受け入れません。CISO は、この変化する環境に最も自信を持っています取締役会への露出が多く、取締役会レベルでのコミュニケーション方法を学ぶという成長の苦しみを経験し、他の経営陣と強力なパートナーシップを築いている人たちです。」
これらの重要なビジネス スキルにより、CISO は次のことが可能になります取締役会とのコミュニケーションをより効果的にする四半期ごとの最新情報、机上演習、その他の会議中。調査対象となった CISO の半数は、取締役会と四半期ごとに対話していると回答しました。しかし、CISO の 25% にとって、取締役会へのアクセスは年に 1 回か 2 回に限られており、12% は臨時ベースで取締役会と会合し、13% は取締役会とまったく関与していません。取締役レベルの CISO は、四半期ごとに取締役会と定期的に関与する可能性が最も低く(役員レベルの CISO の 60 パーセントと比較して、四半期ごとに取締役会と関与するのは 26 パーセント)、そのため、取締役会のリスク許容度.
調査対象の CISO の大多数は、取締役会は次のことを行うべきであると回答しました明確なガイダンスを提供するCISO が行動すべき組織のリスク許容度について質問しましたが、これが当てはまると判断したのはわずか 36% でした。
「当社のデータは、取締役会への定期的なアクセスと CISO の高い満足度との間に強い関係があることを示しています」と Kakolowski 氏は言います。報告書によると、取締役会との定期的な関わりがない CISO のうち、自分の仕事に満足しているのは 28% に過ぎないのに対し、取締役会との関わりが少なくとも頻繁ではない、または臨時的な CISO の場合は 57% であることがわかりました。
「取締役会に定期的にアクセスできる個人は、ビジネスとのつながりをより感じる傾向があり、ビジネス戦略とサイバー戦略の間にはより強いつながりがあると信じている」とカコロスキー氏は付け加えた。 「取締役会への報告は CISO にとってリスクを高めますが、CISO と取締役会との関係が強ければ、それは真の利益をもたらします。」
