Gartner: Top-CISO's besteden tijd aan persoonlijke professionele ontwikkeling

De gegevens zijn verzameld van 2020 tot en met 2023 als onderdeel van een Gartner-benchmarkonderzoek onder 227 CISO's. Respondenten werden gemeten op belangrijke gebieden van CISO-effectiviteit, waarbij degenen die in de top eenderde scoorden als ‘toppresteerders’ werden beoordeeld. “Naarmate de rol van CISO snel blijft evolueren, wordt het voor security- en risicoleiders nog belangrijker om tijd vrij te maken voor professionele ontwikkeling”, aldus Chiara Girardi, Senior Principal Research bij Gartner. “Het ontwikkelen van nieuwe vaardigheden en kennis naarmate de rol verandert, is essentieel om effectief als strategisch adviseur voor het bedrijf te kunnen dienen – het nieuwe CISO-paradigma.”

Gedragingen die CISO's onderscheiden

Het onderzoek identificeerde vijf belangrijke gedragingen die de best presterende CISO’s aanzienlijk onderscheiden van de slechtst presterende. Gemiddeld komt elk van deze gedragingen minstens anderhalf keer zo vaak voor bij toppresteerders als bij slechtst presterende bedrijven (zie figuur 1).

Uit het onderzoek blijkt bijvoorbeeld dat 77% van de best presterende CISO's binnen de organisatie gesprekken initieert over zich ontwikkelende nationale en internationale veiligheidsnormen, zoals hacking back en de attributie van bedreigingen. Dit wordt vergeleken met slechts de helft van de slechtst presterende bedrijven die dit doen.

Context rond de belangrijkste bedreigingen leveren

“Geen enkele organisatie kan volledig beschermd worden tegen elke cyberdreiging”, zegt Girardi. “De meest effectieve CISO’s blijven op de hoogte van bestaande en opkomende risico’s, zodat ze leiderschap kunnen voorzien van context rond de belangrijkste bedreigingen waarmee het bedrijf wordt geconfronteerd, om investeringen en risicobeslissingen dienovereenkomstig te beïnvloeden.”

Bovendien houdt 63% van de best presterende CISO's zich proactief bezig met het beveiligen van opkomende technologieën zoals kunstmatige intelligentie (AI), machine learning (ML) en blockchain, ten opzichte van slechts 38% van de slechtst presterende CISO's.

Risico-impact van AI inschatten

“Nu de adoptie van AI toeneemt, lopen CISO’s al achter bij het inschatten van de risico-impact ervan”, aldus Girardi. “Bedreigingsactoren zijn altijd een stap voor, dus CISO’s moeten proactiever zijn in het begrijpen van de beveiligingsimpact van technologieën zoals generatieve AI en het communiceren van deze risico’s met senior zakelijk leiderschap.”

De best presterende CISO's gaan proactief in gesprek met senior besluitvormers in het hele bedrijf stelt Gartner. Bijvoorbeeld door relaties op te bouwen buiten de context van projecten (65%) en door samen te werken om de risicobereidheid van ondernemingen te bepalen (67%). Bovendien ontmoeten de meest effectieve CISO's regelmatig drie keer zoveel niet-IT-stakeholders dan IT-stakeholders, zoals hoofden verkoop, hoofden marketing en leiders van business units.

'Niet-IT-functies zijn belangrijke partners'

“Niet-IT-functies zijn belangrijke partners die beslissingen op het gebied van technologie en cyberbeveiliging buiten de IT kunnen nemen”, aldus Girardi. “Door toegewijde tijd vrij te maken voor het opbouwen van relaties met senior zakelijke besluitvormers in de hele organisatie, kunnen CISO’s een omgeving creëren waarin besluitvormers cyberbeveiliging begrijpen en er zorg voor dragen, en de implicaties van cyberbeveiliging in hun besluitvorming in overweging nemen.”

Gartner-klanten kunnen meer leren in ‘Key Behaviors Driving CISO Effectiveness’. Leer hoe u een effectieve cybersecurityleider kunt zijn in het gratis Gartner e-boek 'Four Facets of Effective CISO Leadership'.