Umfrage: Die Rolle des CISO entwickelt sich schneller als die Gehälter wachsen

Eine Umfrage unter 830 CISOs ergab, dass viele von ihnen auf Gedeih und Verderb mehr Verantwortung übernehmen, ohne dafür unbedingt zusätzlich vergütet zu werden.

Die von IANS Research und Artico Search, einem Unternehmen für Führungskräftevermittlung, durchgeführte Umfrage ergab, dass bis zu einem Viertel der Befragten Verantwortung für Bereiche wie IT-Betrieb, Änderungsmanagement, Datenverwaltung, künstliche Intelligenz (KI) oder digitale Geschäftstransformation übernommen haben. Insgesamt gaben 15 % der Befragten an, dass ihr Unternehmen nun einen Doppelstelle als CISO/CIO hat.

Gehaltsanhebungen aufgrund der Übernahme zusätzlicher Verantwortung sind jedoch selten. Nur 3 % der CISOs führten ihre letzte Gehaltserhöhung auf die Übernahme größerer Aufgaben zurück, wobei die durchschnittliche Erhöhung 13 % betrug. Die Mehrheit der CISOs (70 %) gab im Vergleich an, dass ihre Gehaltserhöhungen jährliche Leistungssteigerungen waren, die im Durchschnitt 6 % betrugen.

Insgesamt haben 39 % der Befragten eine Art von Führungsposition inne, wobei knapp die Hälfte der Befragten (47 %) angibt, dass sie mit dem Vorstand ihres Unternehmens monatlich oder vierteljährlich in Kontakt sind.

Während CISOs möglicherweise nicht feststellen, dass die Höhe ihrer Gehaltsschecks steigt, wenn sie mehr Verantwortung übernehmen, ist der Trend an sich aber nicht mehr aufzuhalten. Da immer mehr Organisationen erkennen, dass Cybersecurity-Belange in jedem Geschäftsprozess berücksichtigt werden müssen, erweitern sie den Aufgabenbereich des CISO. Dies kann bei CISOs natürlich zu einem gewissen Konflikt führen. Wenn die Alternative jedoch darin besteht, nicht an umfassenderen Entscheidungen mit Auswirkungen auf die Cybersecurity beteiligt zu werden, gibt es nur eine echte Option. Der einzige Weg, als CISO in der heutigen Zeit erfolgreich zu sein, besteht wohl darin, so tief wie möglich in die Geschäftsabläufe eingebunden zu sein, anstatt zu versuchen, Cybersecurity-Prozesse an sie anzuschrauben, nachdem sie bereits definiert wurden.

Die Herausforderung ist nun, dass viele CISOs angesichts des zunehmenden Umfangs und der Raffinesse von Cyberangriffen versuchen, mehr Ressourcen für die Analyse von Bedrohungen zu verwenden. Dazu gehören, dass mehr Verantwortung für die Verwaltung von Security-Operationen (SecOps), wie z. B. die Aktualisierung von Firewalls, an ein IT-Team übertragen wird. Mit zunehmender Konvergenz wird es jedoch nicht mehr lange dauern, bis die Führungsebene eines Unternehmens darüber debattiert, inwieweit die Rollen des CIO und des CISO zusammengeführt werden müssen.

So verlockend das finanziell auch sein mag, die Zusammenführung dieser Rollen kann leicht zu einer Situation führen, in der keine unabhängige Cybersecurity-Überprüfung der eingesetzten IT-Prozesse mehr stattfindet. Im Endeffekt bewacht das IT-Team den Hühnerstall, den es liebevoll gebaut hat, anstatt sich auf die Meinung eines Drittanbieters zu verlassen, um festzustellen, wie stabil die angewandte Security wirklich ist.

Jedes Unternehmen muss für sich selbst entscheiden, inwieweit es bereit ist, Kompromisse einzugehen, aber es gibt keinen Freifahrtschein. Es wird immer notwendig sein, sicherzustellen, dass die für die Cybersecurity bereitgestellten Mittel so effizient wie möglich verwendet werden, und es kommt unweigerlich der Punkt, an dem weniger einfach schlechter ist. In Anbetracht der potenziellen Gesamtkosten eines Cybersecurity-Verstoßes können geringere Ausgaben für Cybersecurity leicht dazu führen, dass man am falschen Ende spart. Das eigentliche Problem besteht wie immer darin, sicherzustellen, dass Cybersecurity so tief verankert ist, dass die tatsächliche Anzahl der Cybersecurity-Vorfälle hoffentlich auf ein absolutes Minimum reduziert wird.