CISOs suchen nach Ausstiegsmöglichkeiten

Die Tätigkeit als Chief Information Security Officer (CISO) war schon immer einer der stressigsten Jobs in der IT. Dieser Stress wird noch größer, da die zivil- und strafrechtliche Haftung für Sicherheitsvorfälle weiter zunimmt. Eine von IANS Research und Artico Search durchgeführte Umfrage unter 600 CISOs ergab, dass etwas mehr als die Hälfte der CISOs weniger als 400.000 US-Dollar verdienen. Nicht wenige CISOs fragen sich, ob sich die Arbeit lohnt.

Nur 20 % der CISOs verdienen mehr als 700,00 US-Dollar pro Jahr. CISOs mit technischem Hintergrund verdienen im Durchschnitt 700.000 US-Dollar und damit ca. 15 % mehr als diejenigen mit einem eher auf Governance, Risiko und Compliance (GRC) ausgerichteten Hintergrund. Trotz dieser üppigen Gehälter gaben drei Viertel der Befragten (75 %) an, dass sie in den nächsten 12 Monaten einen Arbeitsplatzwechsel in Erwägung ziehen. Allerdings gaben nur 12 % an, in den letzten 12 Monaten den Arbeitsplatz gewechselt zu haben.

Der durchschnittliche Anstieg der Gesamtvergütung von CISOs betrug 11 %, ein leichter Rückgang gegenüber 14 % im Vorjahr. In der Umfrage wurde auch deutlich, dass 20 % der Befragten letztes Jahr keine Gehaltserhöhung erhalten haben.

Nicht alle CISOs sind jedoch C-Level-Führungskräfte. Nur jeder fünfte ist eine C-Level-Führungskraft gleich einem CIO oder CFO. Weitere 17 % sind Executive Vice President (EVP) oder Senior Vice President (SVP), 22 % sind Vice President.

Die größte Herausforderung besteht für CISOs darin, die Kontrollen an das Risikoniveau des Unternehmens anzupassen. Nicht alle Anwendungen stellen das gleiche Risiko dar. Dementsprechend muss ein Gleichgewicht zwischen der Sicherheit und der Produktivität der Endbenutzer, die darauf zugreifen, gefunden werden. Das ist meistens viel leichter gesagt als getan. CISOs müssen den Führungskräften geduldig erklären, was schief gehen könnte, damit diese zu dem Schluss kommen, dass der potenzielle Nutzen der Einführung einer neuen Anwendung das inhärente Risiko überwiegt.

In dem Moment, in dem es zu einer größeren Sicherheitsverletzung kommt, ist die erste Person, bei der die Schuld gesucht wird, oft der CISO. Das ist bedauerlich, denn jedes Mal, wenn es zu einem Zwischenfall kommt, dem Cybersecurity-Team die Schuld zu geben, ist in etwa so, als würde man jedes Mal die Feuerwehr beschuldigen, wenn es einen Brand gibt. Die Feuerwehr ist, ähnlich wie das Cybersecurity-Team, für die Eindämmung verantwortlich. Alles, was beide tun können, ist eine regelmäßige Reihe von Inspektionen durchzuführen, die hoffentlich die Anzahl der ausgelösten Alarme verringern.

CISOs müssen sehr viel vorsichtiger mit ihren Vorschlägen sein, vor allem, wenn sie für börsennotierte Unternehmen arbeiten, bei denen die Interessen der Aktionäre immer an erster Stelle stehen, ungeachtet der Tatsache, dass ein CEO oder der Vorstand die Macht hat, sie zu entlassen. Viele CISOs entscheiden sich möglicherweise einfach dafür, nur für private Unternehmen zu arbeiten, die nicht so vielen Vorschriften unterliegen. Diejenigen, die für börsennotierte Unternehmen arbeiten, sollten regelmäßig juristischen Rat einholen, damit ihre Interessen berücksichtigt werden, und nicht nur die der Unternehmen, die sie beschäftigen.

Jeder CISO muss selbst entscheiden, wie viel Stress sein Gehalt wert ist. Es besteht kein Zweifel daran, dass viele gerne die Chance haben würden, diese Rolle zu übernehmen. Die Dauer der Anstellung ist jedoch möglicherweise nicht so lang, wie viele zunächst erwarten.