Inte för att jobbet har blivit tråkigare eller hotas av ny teknik. Istället är det en perfekt storm bestående av hackare beväpnade med AI-teknik och nya komplexa regelverk som medför en arbetssituation så pressande att bolagen riskerar att förlora sina duktigaste cybersäkerhetchefer om inget förändras.
Inom cybersäkerhetsområdet kan förlusten av chefer
få ännu hårdare konsekvenser än i många andra branscher.
I USA pratar man om the Great Resignation – den stora vågen av avgångar – som uppstod efter pandemin när miljontals människor i olika roller och branscher valde att säga upp sig samtidigt. Inom cybersäkerhetsområdet kan förlusten av chefer få ännu hårdare konsekvenser än i många andra branscher. I samband med AI-teknikens frammarsch är deras kompetens viktigare än någonsin, både för att implementera och optimera AI-baserade skydd och för att förstå hur cyberkriminella kan utnyttja tekniken.
En nyligen genomförd Gartner-studie visar att närmare
varannan CISO planerar att byta jobb redan till 2025.
Då cyberkriminella ständigt letar nya sätt att använda den senaste tekniken till sin fördel krävs det mycket av säkerhetsteamen generellt och av CISOn specifikt. En nyligen genomförd Gartner-studie visar att närmare varannan CISO planerar att byta jobb redan till 2025. En fjärdedel funderar på att byta karriär helt och hållet. Det borde fungera som en varningssignal för branschen, särskilt med tanke på att det redan råder brist på expertkompetens.
Orsakerna till en potentiell massflykt bland CISO:er är flera, och i grunden handlar det om att arbetssituationen håller på att bli alltför pressande. Det kan handla om orsaker relaterade till globala konflikter, lågkonjunktur och allt mer avancerade cyberattacker. Till detta kommer digitaliseringens snabba utveckling, vilket bland annat medfört utmaningar med att många arbetar hemifrån. Som grädde på moset har vi flera nya och komplexa regelverk som växer fram bland annat avseende dataintegritet.
Sammantaget är det väldigt mycket att hantera för en CISO. Det understryks i en global undersökning där:
- 76 % av de som arbetar med cybersäkerhet anser att en karriär inom cybersäkerhet har blivit mindre attraktiv under den senaste tiden.
- 70 % säger att de har haft tankar på att helt byta bransch på grund av stress.
- Samtidigt säger 86 % att företagen överväger att flytta resurser från säkerhetsarbetet för att istället satsa på compliance, vilket öppnar för ytterligare sårbarheter.
När en CISO slutar sprids arbetsbördan ofta
på de som är kvar i organisationen
Då CISO:s ansvar i allt högre grad utökas till att även gälla regulatoriska frågor får CISO:er ännu fler områden att behärska. Riskförsäkringar för CISO:er har däremot inte utvecklats i samma takt, så klyftan mellan ansvar och riskskydd blir allt större.
Den genomsnittliga CISO-anställningen ligger mellan 18 månader och 4,5 år. Det är relativt kort tid och orsaken är ofta stress och press. När en CISO slutar sprids arbetsbördan ofta på de som är kvar i organisationen, vilket i sin tur leder till längre arbetsdagar och högre psykisk stress. Så skapas en ond cirkel som påverkar hela företaget.
För att skapa en rimligare situation för CISO
måste företag förändra sina arbetssätt i grunden.
Med detta i åtanke måste företag öka sin förståelse för CISO:s roll. Det fungerar inte att bara köra på som om ingenting har hänt. En minskning av arbetsbelastningen behövs omgående. Ledningen måste också inse att cyberattacker kan inträffa när som helst och att det är orimligt att lägga hela ansvaret på CISO för varje enskild attack. CISO behöver ett starkt team som med hjälp av den mest effektiva tekniken kan automatisera rutinuppgifter och frigöra tid för strategiskt arbete. För att skapa en rimligare situation för CISO måste företag förändra sina arbetssätt i grunden, där större team och outsourcing av vissa uppgifter kan göra att man kommer en bit på väg.
Med tanke på bristen på kvalificerad arbetskraft och den höga arbetsbelastningen måste företagen agera genast. Det är dags att inse att CISO spelar en avgörande roll i att bygga ett företag som kan stå emot framtidens cyberhot. Vi måste sluta ställa orimliga krav och istället hitta nya vägar där vi tar tillvara på alla ekonomiska, tekniska och sociala möjligheter.
Mick Baccio, Säkerhetsrådgivare på Splunk
Om Mick Baccio
Mick Baccio är Global Advisor på Splunks SURGe-team, vilka hjälper kunder runt om i världen att utveckla strategier inom en mängd olika säkerhetsområden.
Innan han började på Splunk var Mick Chief Information Security Officer (CISO) på Pete for America, och var den första CISO:n någonsin att arbeta för USA:s presidentvalkampanjer. Mick var också Vita husets avdelningschef för Threat Intelligence vid Executive Office of The President. Där arbetade han med aktörer som Department of Homeland Security och National Security Council för att utveckla och främja relationer med syfte att se till att Vita Huset förblir medvetet om nationella säkerhetshot, inklusive cyberattacker, terroristaktivitet och annan strategisk information.
