Onderzoek Northwave Cyber Security: organisaties kiezen vaker voor een transformationele CISO

Naarmate cyberdreigingen toenemen en organisaties moeten omgaan met complexe beveiligingsuitdagingen, neemt de vraag naar CISO’s toe. Echter, het vinden en behouden van de juiste security officer is voor veel directies lastig. Er wordt dan ook veel gevraagd aan CISO’s, en de werkstress is flink. Dit houdt niet iedereen lang vol. Gartner voorspelde eerder dat bijna de helft van de CISO’s van baan zal veranderen en dat een kwart van hen volledig afscheid zal nemen van het vakgebied. De oorzaken hiervoor zijn onder meer toenemende stress, burn-out en verwachtingen van het management die veel verder gaan dan de traditionele taken voor IT-beveiliging.

Deze uittocht had niet op een slechter moment kunnen komen. Organisaties kampen al met een tekort aan talent, veranderende eisen van wet- en regelgeving en cybercriminelen die elke dag capabeler worden. De druk op CISO's om de kloof tussen technische beveiligingsmaatregelen en strategische bedrijfsdoelstellingen te overbruggen is enorm en velen van hen ervaren nog niet de volledige steun vanuit de directie.

Onderzoek van Northwave Cyber Security

De rol van de CISO verandert, maar in hoeverre en wat de gevolgen hiervan zijn, is in Europa nog maar weinig onderzocht. Daarom heeft Northwave Cyber Security uitgebreide interviews uitgevoerd met CISO's, bestuursleden en securityprofessionals. Het doel was om te begrijpen met welke uitdagingen CISO’s te maken hebben als gevolg van de veranderingen, wat hen succesvol maakt en hoe organisaties toekomstbestendig leiderschap voor cybersecurity kunnen opbouwen.

Het onderzoek leidde tot een fundamenteel inzicht: er bestaat geen universeel CISO-profiel. En de tijd dat IT-experts met een puur technische achtergrond deze functie konden vervullen, is allang voorbij. De veranderende rol van de CISO is onder meer het gevolg van het dreigingslandschap, technologische ontwikkelingen en een toename in wet- en regelgeving, die sterk varieert per branche, waarbij bijvoorbeeld sectoren met een kritieke data-infrastructuur te maken hebben met strenge eisen van NIS2-, DORA- en ISO-normen.

Drie soorten CISO's voor verschillende organisatorische behoeften

Uit de onderzoeksresultaten blijkt dat de basis van een CISO bestaat uit kennis van en ervaring met riskmanagement en compliance, basis technische kennis en communicatieve vaardigheden. Naast deze basis komen drie typen CISO's naar voren, afhankelijk van het type organisatie, de huidige beveiligingssituatie en de bedrijfsdoelstellingen:

Operationeel (fundamenteel)

Gericht op compliance, basisbeveiliging en incidentmanagement. Sectoren met grote fysieke operationele activiteiten en basisvereisten voor certificeringen voor cybersecurity hebben het meeste baat bij deze aanpak.

Transformationeel

Gericht op cultuur, bewustwording en samenwerking. Deze CISO maakt cybersecurity een gezamenlijke verantwoordelijkheid in de organisatie en werkt vaak nauw samen met het middenmanagement in een organisatie.

Strategisch

Verankert cybersecurity in de bedrijfsstrategie, innovatie en risicobeheer. Vooral relevant in sterk gedigitaliseerde organisaties. Deze CISO heeft aanzienlijke strategische invloed nodig en zit in het bestuur of werkt nauw samen met het bestuur, zodat beveiliging deel uitmaakt van elke zakelijke beslissing.

Transformationele leiders hebben de toekomst

Met het oog op de toekomst wijst het onderzoek op een duidelijke trend: de rol van de transformationele CISO is in opkomst. Inmiddels heeft 84,4% van de organisaties de rol al ingevuld of wil dat op korte termijn doen. Organisaties geven dus de voorkeur aan CISO’s die verandering kunnen stimuleren, beveiliging kunnen koppelen aan de bedrijfsstrategie en verantwoordelijkheid voor cybersecurity kunnen verankeren in de hele organisatie.

Interessant is dat uit de gegevens blijkt dat 88% van de organisaties met een neutrale volwassenheid op het gebied van cybersecurity de rol van transformationele CISO al heeft ingevuld, vergeleken met 57% van de organisaties met een lage volwassenheid en slechts 38% van de organisaties met een hoge volwassenheid. Dit suggereert dat organisaties die zich midden in hun beveiligingstraject bevinden, vooral baat hebben bij CISO’s die culturele en organisatorische veranderingen kunnen stimuleren.

Drie cruciale volgende stappen voor het management

De onderzoeksresultaten bieden directies en besturen die klaar zijn om hun leiderschap op het gebied van cyberbeveiliging te versterken, drie belangrijke adviezen:

• Stem de rol van de CISO af op de beveiligingsdoelstellingen en volwassenheid van de organisatie. Evalueer waar de organisatie momenteel staat op het gebied van cybersecurity en zorg ervoor dat de verantwoordelijkheden van de CISO aansluiten bij de werkelijke behoeften. Of het management zich nu richt op compliance, operationele continuïteit, cultuurverandering of strategische innovatie, het duidelijk definiëren van de opdracht van de CISO geeft essentiële richting.
• Geef de CISO toegang tot de raad van bestuur, ondersteuning en strategische invloed. CISO’s kunnen niet afzonderlijk succesvol zijn. Ze hebben directe toegang nodig tot de raad van bestuur, moeten betrokken zijn en gesteund worden bij belangrijke beslissingen en moeten voldoende zichtbaarheid, autoriteit en middelen hebben om te pleiten voor cruciale investeringen in cybersecurity.
• Vul de tekorten in expertise aan en ondersteun de ontwikkeling van leiderschap. Naarmate de verwachtingen voor CISO’s toenemen, nemen ook de vereiste capaciteiten toe. Door een sterk team van interne en externe experts op te bouwen rond CISO’s, wordt de individuele druk verminderd en kunnen zij zich concentreren op het stimuleren van organisatorische verandering.

De weg vooruit

Externe bedreigingen en organisatieontwikkelingen brengen continu nieuwe cybersecurity kansen en uitdagingen met zich mee. Er is geen eenvoudig, universeel antwoord voor leiderschap in cybersecurity. Door echter inzicht te krijgen in de verschillende typen CISO's, maar ook in welke factoren de taak van een CISO en zijn succes mogelijk maken, kan het management weloverwogen beslissingen nemen die leiden tot duurzame cyberweerbaarheid. Het is van cruciaal belang om inzicht te krijgen in de huidige en toekomstige behoeften van de organisatie op het gebied van cybersecurity. Op die manier vind je de juiste CISO voor de ‘job’.

Renate Hendriksen, manager business security consultancy bij Northwave Cyber Security