Korn Ferry: Jak przyciągać i zatrzymywać liderów bezpieczeństwa
Międzynarodowa firma doradcza Korn Ferry regularnie publikuje raporty dotyczące zarządzania w nowoczesnych organizacjach. W opracowaniu „The CISO Dilemma” jej eksperci przyjrzeli się wyzwaniom, z jakimi mierzą się CISO (ang. Chief Information Security Officers), czyli dyrektorzy ds. bezpieczeństwa informacji. Zwrócili uwagę przede wszystkim na dramatycznie krótki czas utrzymywania się specjalistów na tym stanowisku – średnio od 18 do 26 miesięcy – o czym już kilka lat temu alarmowała firma CISO Global. To jeden z najniższych wyników wśród kadry kierowniczej, a jego konsekwencje dla firm są dotkliwe: przerwane projekty, luki w strategii bezpieczeństwa i zwiększone ryzyko poważnych incydentów.
Rola CISO stała się dziś jedną z najbardziej wymagających i obciążających w całej strukturze zarządzania. Z jednej strony odpowiedzialność rośnie wraz z falą cyberzagrożeń i rosnącymi oczekiwaniami regulatorów, z drugiej – organizacje nie zawsze oferują odpowiednie wsparcie i środowisko, by liderzy bezpieczeństwa mogli skutecznie działać. To właśnie o tej trudnej równowadze – pomiędzy potrzebą stabilności a realiami wysokiej presji – opowiadają eksperci Korn Ferry.
Raport Korn Ferry – dlaczego CISO odchodzą?
Rola CISO w nowoczesnej organizacji jest niezwykle wymagająca i trudna do pełnienia bez odpowiednich zasobów oraz wpływu na decyzje strategiczne. Oprócz wcześniej wspomnianego krótkiego okresu pełnienia funkcji przez CISO warto dodać, że aż 41% firm nie posiada planu sukcesji dla tego kluczowego stanowiska – wynika z raportu Heidrick & Struggles.
Co wpływa na takie statystyki? W praktyce wielu CISO funkcjonuje w warunkach ciągłego zarządzania kryzysem – od odpierania coraz bardziej wyrafinowanych ataków, przez rozwiązywanie problemów kadrowych w zespołach, aż po tłumaczenie zarządowi, dlaczego kolejne miliony muszą być przeznaczone na bezpieczeństwo.
„Na wysoką rotację wpływa kilka czynników, w tym ogromna presja związana z zapobieganiem zagrożeniom cybernetycznym, dynamicznie zmieniający się charakter ryzyk oraz często ograniczone zasoby i wsparcie. Jeśli firmy nie zmierzą się z tymi problemami, będą nadal borykać się z niestabilnością w obszarze przywództwa odpowiedzialnego za cyberbezpieczeństwo”– zauważają autorzy raportu Korn Ferry.
CISO w strukturze firmy
Dodatkową trudnością jest pozycja CISO w strukturze firmy. Wielu z nich nie ma bezpośredniego dostępu do zarządu, raportując zamiast tego do CIO, CTO czy CFO. Taka relacja ogranicza możliwość pozyskiwania budżetu oraz wpływania na kształtowanie strategii biznesowej. Tymczasem cyberbezpieczeństwo nie jest już kwestią techniczną – to ryzyko biznesowe, które wymaga uwagi na najwyższym szczeblu.
Eksperci Korn Ferry podkreślają także, że dużą rolę odgrywają również nowe regulacje. Przepisy SEC w Stanach Zjednoczonych czy europejskie regulacje dotyczące raportowania cyberincydentów sprawiają, że odpowiedzialność osobista CISO staje się coraz większa. Korn Ferry podkreśla, że „nowe zasady ujawniania informacji i wzmożona kontrola w obszarze cyberbezpieczeństwa zwiększyły osobistą odpowiedzialność CISO”. Innymi słowy, liderzy bezpieczeństwa często stają się osobiście odpowiedzialni za skutki incydentów – również w sensie prawnym.
Warto również podkreślić, że dynamiczny rozwój sztucznej inteligencji dodatkowo potęguje wyzwania stojące przed dyrektorami ds. bezpieczeństwa informacji. Skalę problemu potwierdzają również badania innych organizacji. W tegorocznym raporcie „Voice of the CISO Report” opracowanym przez Proofpoint aż 76 procent ankietowanych firm przewiduje, że w nadchodzącym roku stanie się celem poważnego cyberataku. Najczęściej wskazywanymi zagrożeniami są błędy ludzkie oraz utrata danych związana z wykorzystaniem generatywnej sztucznej inteligencji.
„Nieopanowany wzrost ilości danych od wielu lat stanowi rosnące wyzwanie dla organizacji. Im więcej danych tworzymy, przenosimy, przetwarzamy i przechowujemy każdego dnia, tym trudniej jest je klasyfikować, śledzić i chronić. Rozwój innowacyjnych technologii tylko dodatkowo spotęgował ten problem” – czytamy w raporcie Proofpoint.
Rekomendacje Korn Ferry dla firm
Jak zatem przerwać błędne koło rotacji, wypalenia i nieustającej presji? Korn Ferry wskazuje kilka kluczowych strategii. Pierwsza dotyczy samego umiejscowienia CISO w organizacji – jeśli rola ma być skuteczna, musi być traktowana jako strategiczna. To oznacza bezpośredni dostęp do zarządu i realny wpływ na rozmowy o ryzyku, danych i transformacji cyfrowej. Dopiero wtedy cyberbezpieczeństwo przestaje być „kosztem IT”, a staje się priorytetem biznesowym.
Drugim elementem jest zapewnienie odpowiednich zasobów. Chodzi nie tylko o budżety i narzędzia, lecz także o zespół, który będzie wspierał lidera w codziennej pracy. Korn Ferry podkreśla, że tworzenie kultury „security-first” to inwestycja, która zmniejsza tarcia i ułatwia godzenie celów biznesowych z wymogami bezpieczeństwa.
Trzecim krokiem jest zadbanie o atrakcyjne warunki zatrudnienia. W praktyce oznacza to wynagrodzenia zgodne z rynkiem, długoterminowe zachęty w postaci equity czy bonusów oraz wyraźnie nakreśloną ścieżkę rozwoju. Dla wielu specjalistów to właśnie perspektywa dalszego awansu czy zdobywania nowych kompetencji jest kluczowa przy podejmowaniu decyzji o pozostaniu w firmie.
Nie mniej ważna jest ochrona prawna. Firmy powinny stosować specjalne klauzule w umowach oraz zapewniać CISO wsparcie prawne w razie incydentu. Takie podejście daje liderom poczucie bezpieczeństwa i buduje zaufanie między nimi a organizacją.
CISO jako partner strategiczny – nie strażnik sieci
Analizując dane Korn Ferry oraz innych organizacji badawczych, trudno nie dojść do wniosku, że rola CISO wymaga redefinicji. To już nie tylko strażnik sieci, który odpowiada za firewalle i aktualizacje systemów. To lider, którego decyzje mają wpływ na ciągłość działania całej organizacji, reputację marki i zaufanie klientów.
Dlatego firmy powinny przestać traktować CISO jako „koszt” i zacząć myśleć o nim jak o strategicznym partnerze biznesowym. Dając liderowi bezpieczeństwa przestrzeń do działania, odpowiednie zasoby, atrakcyjne warunki i ochronę prawną, organizacja nie tylko zwiększa swoje bezpieczeństwo, ale i wysyła sygnał, że rozumie wagę nowoczesnych zagrożeń.
W świecie, w którym cyberataki stają się codziennością, a zaufanie jest walutą, stabilny i wspierany CISO to nie luksus, lecz konieczność. To właśnie ten lider może być różnicą między firmą, która upada po pierwszym kryzysie, a organizacją, która wychodzi z niego silniejsza.
[…] Korn Ferry: Jak przyciągać i zatrzymywać liderów bezpieczeństwa […]