CISOの役割がバックオフィスのIT機能からより大規模な企業活動へと進化を続けるにつれ、CISOはより戦略的かつリスク関連の責任を負うようになっています。また、役割の重要性が高まるにつれ、CISOは多くの個人的なリスクにも直面しています。エグゼクティブサーチ会社Heidrick & Strugglesの最新調査によると、米国の回答者が直面する最大の個人的なリスクは、ストレス(59%)と燃え尽き症候群(48%)でした。
しかし、情報漏洩による失業率は28%で、多くの人が自分の役割に比較的安心していることを示唆していると同社は述べた。
「その理由の一つは、優秀なCISOは、役員レベルの保護(取締役および役員の保険や退職金など)を命じることができ、キャリアリスクの脅威に邪魔されることなく職務を遂行できるためだ」と報告書は述べている。
この役割に伴う燃え尽き症候群とストレスにより、「組織はCISOが不必要に退職することがないよう、後継者計画や保持戦略を検討する必要がある」と調査では述べている。
CISOの出身地
CISOの多くは、金融サービス業界とテクノロジー業界での直近の経験を有しています。職務経歴で見ると、ほとんどがIT業界出身ですが、他の職務分野の専門知識を持つ人材も増えてきており、特にソフトウェアエンジニアリングは昨年の7%から今年は10%に増加しました(レポートより)。
また、回答者の 77% が少なくとも 3 年間その役職に就いていましたが (昨年の回答者の 56% から増加)、1 年未満の役職に就いている人のほぼ 3 分の 2 は、以前に CISO の役職に就いていた人であり、現在の役職に 5 年以上就いている人は、CISO 以外の役職に就いていた人である可能性が高くなりました。
参照: 採用キット: データサイエンティスト ( TechRepublic Premium)
多様性は遅れ続けている
回答者のほとんどは男性で白人であり、地域による差異はほとんどありませんでした。世界全体では、回答者の18%が女性、黒人、アフリカ系アメリカ人、ヒスパニック、ラテン系など、何らかの多様性を有していました。
米国だけでも、多様な回答者の割合は14%に減少しましたが、ヒスパニック系またはラテン系の割合は昨年の5%から8%に増加しました。米国の回答者の71%が、自らを白人と認識しています。
CISOの報酬は引き続き上昇
もう一つの注目すべき調査結果は、米国では、CISOの現金報酬の中央値が今年584,000ドルに上昇したと報告されていることです。これは、昨年の509,000ドルから15%、2020年の473,000ドルから23%の増加です。総報酬の中央値も、前年比4%増の936,000ドルから971,000ドルに増加しました。
一般的に、経験年数が 1 年未満の CISO は、経験年数が長い CISO に比べて総報酬の増加率が最も高かったのに対し、最も恩恵が少なかったのは、役職に就いて 5 年以上が経ち、基本報酬の増加のみを受けた CISO でした。
参照:COVID-19による男女格差:女性が仕事を辞める理由と復職させる方法(無料PDF)(TechRepublic)
CISOは役員会議への参加を希望しているが、ハードルに直面している
CISO は多くの場合、組織の取締役会に直接報告しますが、これは CEO/CFO 以外の多くの C レベルの役割ではまれであり、多くの企業がこれまで持っていなかったリスクに対する単一の視点を提供すると、Heidrick & Struggles のサイバーセキュリティ プラクティスのグローバル リーダーである Matt Aiello 氏は指摘しています。
しかし、米国の回答者の大多数が、理想的な次の役職は取締役になることだと答えたのに対し (56%)、CISO 全体のうち、企業の取締役会に所属している、または取締役会と諮問委員会の両方に所属していると答えたのはわずか 14% でした。
サイバーリスクの高まりにより、取締役会にサイバーセキュリティの経験者を求める声が高まっているにもかかわらず、依然として多くの取締役は取締役会経験者を希望しており、米国では取締役の57%が上場企業の取締役を務めた経験がある。
「取締役会は、現職のCISOを取締役会の席に迎えるのではなく、自社のCISOを取締役会に招き入れて最新情報を共有しているケースが最も多いことがわかりました」とアイエロ氏は述べています。「実際、調査対象となったCISOの88%が、過去1年間に少なくとも1回は取締役会に報告したと回答しています。報告先は取締役会全体の委員会、サイバーセキュリティを監督する委員会(通常は監査委員会、リスク管理委員会、場合によってはサイバーセキュリティ専門委員会)のいずれかです。」
アイエロ氏は、取締役会の席数が限られているため、組織は相反する目標を抱えており、それが空席の補充方法に影響を与えるのではないかと推測しています。多くの取締役会は、新任の取締役に取締役会経験があることを希望しており、レポートによると、米国のCISOのうちこのカテゴリーに該当するのはわずか4%です。
「さらに、取締役会の多様性は優先事項ですが、CISOの大多数は多様性に欠けています。また、取締役会は幅広いビジネス経験を持つ幹部を好む傾向がありますが、ほとんどのCISOはそうではありません」と彼は述べた。「SECが提案しているサイバーセキュリティの報告と専門知識に関する規則が前進すれば、取締役会とCISOの関係は劇的に変化する可能性があります。そうなれば、企業は取締役会の構成を見直すことになるでしょう。」
ハイドリック・アンド・ストラグルズは、2022年春に世界中の327人のCISOを対象に実施した調査から、組織および報酬に関するデータをまとめたと発表した。CISOの3分の2以上が年間売上高50億ドル以上の企業に勤務し、幅広い業界で活躍していた。最も多かったのは金融サービス、テクノロジー、通信だが、工業、製造、エネルギー、消費財、小売、メディアと続く。
