Čtrnáct proměnných, jež lze ovlivnit a které pozitivně korelují s efektivitou CISO, odhalil jeden z nejnovějších výzkumů Gartneru. Proměnné lze uspořádat do čtyř obecnějších kategorií chování a myšlení, které odlišují efektivní CISO od jejich méně výkonných kolegů. Analytici tyto kategorie pojmenovali „aspekty“ efektivních CISO. Vedoucí pracovníci v oblasti bezpečnosti by měli vědět, jak se v těchto kategoriích zlepšovat, a zvyšovat tak svou vlastní efektivitu. Platí při tom, že úspěchu nelze dosáhnout ve všech čtyřech kategoriích najednou – vhodnější je zaměřit se na ně postupně:
- Schopnost ovlivňovat exekutivu (executive influencer)
- Zvládnutí stresu a rozhodování pod tlakem (stress navigator)
- Schopnost řídit budoucí rizika (future-risk manager)
- Rozvíjet potřebnou pracovní sílu (workforce architect)
Neefektivita CISO a potažmo celé oblasti kybernetické bezpečnosti se přitom může značně prodražit – dobrých výsledků ve všech čtyřech kategorií přitom dosahuje jen 12 % CISO. Organizace, v nichž je informační bezpečnost řízena méně efektivně, se musí smířit s horšími výsledky a dopadem na samotného CISO i celý podnik:
Dopad na celý podnik
- Zvýšený počet bezpečnostních incidentů s dopadem na provoz podniku
- Zpoždění projektů s dopadem na obchodní cíle
Dopad na osobu CISO coby člena exekutivy
- Přetížení bezpečnostními poplachy
- Špatná rovnováha mezi prací a osobním životem
Ti nejlepší mezi lídry kybernetické bezpečnosti se prostě soustředí výhradně na ochranu a podporu podnikových priorit. K tomu však potřebují celou řadu schopností a kompetencí, aby mohli efektivně plnit svou stále mnohostrannější roli. Ve srovnání s méně efektivními CISO se ti nejlepší více zaměřují na diskuze s rozličnými stakeholder, aktivněji upozorňují na budoucí rizika, prosazují strategii náboru a rozvoje talentů, orientovanou více na budoucnost a udržují důsledněji předěl mezi pracovním a osobním časem.
Jak se stát efektivnějším CISO
Efektivita CISO a lídrů odpovědných za informační bezpečnost vychází ze čtyř hlavních aspektů
Funkční řízení – efektivní vedení týmu při plnění funkčních cílů, jako jsou:
- Funkční výkonnost a soutěživost
- Schopnost zaměstnanců přizpůsobit se změnám v podniku
- Plnění funkčních výkonnostních cílů stanovených exekutivou
Poskytování služeb v oblasti informační bezpečnosti – efektivní zajištění kvalitních služeb podporujících obchodní (byznys) cíle, tak aby byly pokud možno plněny:
- Rozvrhy dodání služeb
- Projektové rozvrhy a termíny
- Požadované kvalitativní standardy služeb
Reakční schopnosti podniku – schopnost zvýšit vnímavost organizace k roli a důležitosti informační bezpečnosti – například aby zaměstnanci:
- Plnili základní požadavky v oblasti informační bezpečnosti
- Omezili počet narušení pravidel a politik
- Byli schopní se informovaně, nezávisle rozhodovat ohledně rizik
Škálování governance – schopnost zvýšit míru spolupráce nad doporučeními z oblasti informační bezpečnosti, například:
- Promítnutí informačních rizik do rozhodování na celopodnikové úrovni
- Informační bezpečnost je zohledněna při každém relevantním rozhodování napříč organizací
- Doporučení v oblasti informační bezpečnosti udržují rovnováhu mezi bezpečností a obchodními cíli
Jak se stát exekutivním influencerem
Efektivní CISO, kteří chtějí cíleně ovlivňovat svou organizaci s ohledem na potřeby informační bezpečnosti, by měli:
- Systematicky a pravidelně interagovat se členy exekutivy mimo sféru korporátního IT
- Uznat vliv non-IT exekutivy na efektivitu fungování informační bezpečnosti.
- Hledat a rozvíjet smysluplné vztahy s těmito členy podnikové exekutivy i mimo rámec konkrétních projektů
- Najít společnou řeč s non-IT exekutivou ohledně akceptace rizika a ovlivňovat celopodnikové rozhodování vysvětlováním dopadů kompromisů v oblasti informačních rizik.
