IT-säkerhetschefer får större affärsinflytande

Cybersäkerhetens roll växer i företagsledningen

Cybersäkerhets- och observerbarhetsföretaget Splunk släpper nu resultaten av den globala undersökningen The CISO Report 2025. Undersökningen beskriver vilka mål, prioriteringar och affärsstrategier som IT-säkerhetsansavariga (Chief Information Security Officers, CISO) och deras styrelser har och hur de har utvecklats sedan förra året.

Undersökningen visar att säkerhetschefernas roll i ledningsgruppen innebär att de även är mer inblandade i styrelsearbetet, där de utöver samverkan med VD även är delaktiga i strategiska verksamhetsbeslut. Noterbart är att 82 % av de tillfrågade CISO:erna idag rapporterar direkt till VD:n, vilket är en betydande ökning från 47 % år 2023. Dessutom deltar 83 % av CISO:erna i styrelsemöten “ganska ofta” eller “oftast”. 60 % uppger att styrelseledamöter med cybersäkerhetsbakgrund påverkar säkerhetsbeslut i allt högre grad, medan bara 29 % säger att deras styrelse består av minst en ledamot med cybersäkerhetsexpertis.

- I takt med att cybersäkerhet blir allt viktigare för att driva affärsframgång, samordnar CISO:er och styrelser sina insatser för att bygga företagets digitala motståndskraft, säger Michael Fanning, Chief Information Security Officer på Splunk. För CISO:er innebär det att de behöver förstå verksamheten ur mer än ett IT-perspektiv och hitta nya sätt att kommunicera värdet av sina säkerhetsinitiativ till styrelsen. För styrelseledamöter innebär det att ta till sig att säkerhetsfrågorna behöver genomsyra alla delar av verksamheten och att de behöver vända sig till CISO när det gäller beslut som påverkar riskhantering och styrning.

För att föra samman de två krävs att man utbildar styrelser i cybersäkerhet och att CISO:er lär sig förstå affärsverksamhetens behov samtidigt som säkerheten blir en möjliggörande för verksamheten.

- CISO-rollen blir allt mer komplex och affärskritisk, vilket medför att de behöver kunna balansera säkerhetsbehov med affärsmål, och kunna påvisa värdet av säkerhetsinvesteringarna, säger Shefali Mookencherry , Chief Information Security and Privacy Officer, University of Illinois Chicago. Genom att utveckla starka relationer mellan olika avdelningar och intressenter kan CISO:er ge vägledning för att driva cybersäkerhets- och integritetsprogram.

Samverkan mellan CISO och styrelsen ger effekt
Undersökningen visar att styrelsemedlemmar med CISO-bakgrund anser att de har starkare relationer än andra med säkerhetsteam, och de känner sig även tryggare kring företagets övergripande säkerhetsställning. De är mindre benägna än andra styrelseledamöter att uttrycka oro över att de inte gör tillräckligt för att skydda organisationen (37 % jämfört med genomsnittet på 62 %). Styrelseledamöter med CISO-bakgrund rapporterade utmärkta eller mycket goda arbetsrelationer mellan CISO och styrelsen inom följande områden:

• Att fastställa och anpassa sig till strategiska cybersäkerhetsmål (80 % för styrelser med en CISO-medlem mot 27 % för styrelser utan en CISO-medlem)
• Kommunikation kring de framsteg man gör i förhållande till delmål och vad man åstadkommit i förhållande till säkerhetsmål och plan (60 % för styrelser med en CISO-medlem jämfört med 16 % för styrelser utan en CISO-medlem)
• Relevant budgetering för att nå säkerhetsmålen (50 % för styrelser med en CISO-medlem mot 24 % för styrelser utan en CISO-medlem)

CISO:er som har en bra arbetsrelation med styrelsen tenderar också att ha mer effektiva samarbeten även med andra delar av organisationen. De rapporterar särskilt starka relationer med de som arbetar med IT-drift (82 % mot 69 % av andra CISO:er) och ingenjörer (74 % mot 63 % av andra CISO:er). CISO:er med goda styrelserelationer får också oftare möjligheten att driva initiativ där generativ AI är inblandat.

Överbryggning av klyftan mellan CISO och styrelse
Även om CISO:er och styrelser idag uppger att de samarbetar mer än tidigare kring säkerhetsprioriteringar finns fortfarande luckor. De största klyftorna mellan de prioriteringar som CISO:er och styrelser har inkluderar:

• Innovera med nya teknologier (52 % av CISO:er anser att det är en prioritet jämfört med 33 % för styrelseledamöter)
• Utbilda eller omskola säkerhetsteam (51 % för CISO:er mot 27 % för styrelser)
• Bidra till intäktsdrivande initiativ (36 % för CISO:er mot 24 % för styrelser)

Styrelser har höga förväntningar på att CISO:er ska lära sig nya färdigheter för att bli bättre företagsledare. Men att lära sig nya färdigheter gör CISO:s jobb mer komplext, och 53 % säger att både ansvar och förväntningar har blivit tuffare sedan de tog jobbet. Även på frågan om vilka färdigheter CISO bör utveckla skiljer sig svaren mellan CISO och styrelsen. De största skillnaderna dem emellan är:

• Affärsmannaskap (55 % för styrelser mot 40 % för CISO)
• Emotionell intelligens (45 % för styrelser mot 35 % för CISO)
• Kommunikation (52 % för styrelser mot 47 % för CISO)
• Kunskap om reglering och efterlevnad (44 % för styrelser mot 57 % för CISO)

Medan styrelser och CISO:er är överens om grundläggande cybersäkerhets-KPI:er, säger 79 % av CISO:er att KPI:erna för deras säkerhetsteam har förändrats avsevärt under de senaste åren. Fyrtiosex procent av CISO:erna uppger att hur väl man uppnår säkerhetsdelmål var ett tecken på deras framgång, jämfört med endast 19 % av de svarande i styrelsen.

Att lyckas efterleva de lagar och regler som finns är affärskritiskt
Nya komplexa regler med allt tuffare potentiella påföljder kräver snabbare incidentrapportering och lägger mer ansvar på CISO:erna. Samtidigt uppger bara 15 % av CISO:er att deras förmåga att klara efterlevnadskrav är ett kvitto på hur duktiga de är. Det är en betydande skillnad jämfört med styrelserna (45 %). Vidare hade 21 % av CISO:erna blivit pressade att inte rapportera ett efterlevnadsproblem, men 59 % sa att de skulle bli en visselblåsare om deras organisation ignorerade efterlevnadskraven.

Budgetnedskärningar får allvarliga konsekvenser
IT-budgetarna återspeglar den inkonsekvens som fortfarande finns mellan CISO och styrelser, och 29 % av CISO:erna säger att de får en relevant budget för cybersäkerhetsinitiativ och för att uppnå sina säkerhetsmål, jämfört med 41 % av styrelseledamöterna som tycker att cybersäkerhetsbudgetarna är tillräckliga. Sextiofyra procent av CISO:erna säger att den nuvarande hotsituationen och de allt mer komplexa regleringarna gör att de oroar sig för att de inte gör tillräckligt. Arton procent av CISO:erna uppger att de upplevt att de misslyckats med att stödja ett affärsinitiativ på grund av budgetnedskärningar under de senaste 12 månaderna, och 64% säger att bristen på resurser ledde till en cyberattack. CISO:er rapporterade också att färre säkerhetslösningar (50 %), anställningsstopp (40 %) och minskade eller eliminerade säkerhetsutbildningar (36 %) är de vanligaste åtgärderna för att minska kostnaderna. Nittiofyra procent av CISO:erna rapporterar att de har blivit offer för en betydande cyberattack, och 55 % upplever att de drabbats av stora attacker minst ett par gånger och ytterligare 27 % upplever dem många gånger.

För att ladda ner 2025 CISO-rapporten, se Splunks webbplats.

Metodik
Den globala undersökningen genomfördes i juni och juli 2024 i samarbete med Oxford Economics. Rapporten undersökte 600 respondenter (500 CISOs, CSOs eller motsvarande säkerhetschefer och 100 styrelsemedlemmar). Respondentkategorier inkluderar CISO:er som själv identifierade sig som styrelsemedlemmar. De svarande kommer från 10 länder: Australien, Frankrike, Tyskland, Italien, Indien, Japan, Nya Zeeland, Singapore, Storbritannien och USA. De representerar 16 branscher: jordbruk, företagstjänster, bygg/teknik, utbildning, energi och allmännyttiga tjänster, finansiella tjänster, myndigheter, sjukvård, biovetenskap, informationstjänster, teknik, tillverkning, detaljhandel, konsumentvaror, telekom samt media och kommunikation. Oxford Economics genomförde också åtta djupintervjuer med CISO:er och styrelseledamöter för kvalitativ insikt.

2025-01-24 - Industritorget