Text: Andy Rose, Resident CISO, Proofpoint
I cybersäkerhetsvärlden finns ett ämne och en diskussion som jag stöter på allt oftare – hur CISO-rollen har förändrats och blivit tuffare. Trots ett ökat fokus på säkerhet, höjda löner och ökade resurser har utvecklingen accelererat den senaste tiden. Det leder till höjda stressnivåer och ökad risk för exempelvis utbrändhet hos de med ansvar för cybersäkerhetsarbetet.
Det finns flera orsaker till det ökande trycket. En är att rollen som sådan expanderat. Många seniora ledare började inom IT-säkerhet, vilket sedan växte till informationssäkerhet innan det gick över till ”cybersäkerhet”. Varje steg har fört med sig en utökad omfattning med större ansvar. Nu är vi på väg in i nästa era, vi kan kalla det ”cyberresiliens”, som utifrån mitt perspektiv och de diskussioner jag har omfattar…i princip allt.
Såväl våra organisationer som samhällets system blir alltmer komplexa. Detta driver en trend mot ett kaotiskt och oförutsägbart systembeteende, samtidigt som samhället blir alltmer beroende av dessa system. Resultatet är ett samhälle som blivit skört och sårbart för fel i systemen.
Faktum är att hela 40 procent av svenska CISO:er tycker att det finns överdrivna förväntningar på dem och deras roll, enligt rapporten Voice of the CISO från 2022.
Många av oss tror att vi kan uthärda och hantera den stress som rollen medför. Men vi ska vara medvetna om att stress smyger sig på och kan vara svår att identifiera och tillförlitligt uppskatta hos sig själv. Vi är medvetna om att allt inte är bra, men risken är stor att vi inte uppfattar den gradvisa försämringen förrän det är för sent.
Stress påverkar beslutsfattandet och riskerar att leda till att man fattar felaktiga och rentav skadliga beslut. Med höga stressnivåer kan det bli svårt att hålla sig från att exempelvis förbise en datapunkt eller göra en något felaktig framställning av en risk om det kortsiktigt kan ge minskad press till exempel från styrelsehåll. Enligt samma rapport är det endast 18 procent av svenska CISO:er som håller med i påståendet att deras styrelse är på samma sida som dem i frågor som rör cybersäkerhet.
Om stressen sprids inom organisationen, till personalen som rapporterar till dig, hur kan du vara säker på att den information som skickas till dig är korrekt och inte genomgått samma typ av skönmålning för att minimera stress?
Vi som ledare har ett ansvar att se till att den ökade pressen inte påverkar de människor som litar på oss eller våra medarbetare. För att göra det behöver vi arbeta medvetet med de här frågorna och inte blunda för dem. Vi behöver bygga en kultur där vi tar hand om varandra och hjälper varandra med att upptäcka tecken på stress i vår omgivning.
När det gäller mer etiska avvägningar går de organisationskulturella aspekterna ännu djupare. Vi behöver främja en utveckling och en teamkänsla där det inte finns något alternativ, där det helt enkelt inte finns någon öppning för att skönmåla eller förenkla det komplexa för kortsiktig vinning. Här finns ingen enkel universallösning, men det kan vara bra att vara medveten om att det inom det militära ofta hänvisas till att mindre disciplinöverträdelser som går osett förbi har en tendens att växa över tid.
Här spelar du som ledare en nyckelroll. Du behöver hitta ett tydligt etiskt roder, en påle du kan driva ner i marken och hålla dig fast vid när stressen ökar och det blåser allt hårdare omkring dig. Exakt vad det är och hur det fungerar är dock högst individuellt och något du behöver hitta fram till på egen hand.
