Siber güvenlik sertifikasyon kuruluşu ISC2 tarafından yapılan bir araştırma, siber güvenlik profesyonellerinin çoğunun, daha önce büyük bir siber saldırı veya güvenlik olayı yaşamış CISO'lara (Üst Düzey Bilgi Güvenliği Sorumlusu) daha fazla güven duyduğunu ortaya koydu. 796 siber güvenlik çalışanıyla gerçekleştirilen ankette, katılımcıların %35'i, bir siber güvenlik liderinin daha önce gerçek ve yüksek profilli bir güvenlik olayını yönetmiş olmasının kredibilitesini artırdığına 'kesinlikle katıldığını', %41'i ise 'kısmen katıldığını' belirtti. Sadece %10'dan azı bu görüşe katılmadığını ifade etti.
ISC2 CEO'su Scott Beale, konuyla ilgili yaptığı açıklamada, 'Büyük bir siber güvenlik olayını yönetmek, liderlere pratik deneyim, bakış açısı ve baskı altında sakin kalma yeteneği kazandırdığı için kredibilite oluşturabilir. Bu bulgular, siber güvenlik profesyonellerinin bu dersleri uygulayarak daha iyi kararlar alabilen, net iletişim kurabilen ve kurum genelinde dayanıklılığı güçlendirebilen liderlere değer verdiğini gösteriyor' dedi. İlginç bir şekilde, önceki siber olayın sonucu veya olası suçlamalar, lidere duyulan güven üzerinde belirleyici bir rol oynamıyor; sadece olay sırasında edinilen deneyim önem taşıyor.
Araştırma, iyi bir siber güvenlik liderliğinin nasıl olması gerektiğine de ışık tuttu. Katılımcıların %71'i, bir siber güvenlik liderinde hem teknik uygulama deneyiminin hem de stratejik ve yönetsel liderlik deneyiminin bir arada bulunmasının önemli olduğunu belirtti. Ancak birini diğerine tercih edenlerin %18'i, güçlü stratejik ve yönetsel liderlik deneyimine sahip olmayı daha değerli bulurken, sadece %11'i kapsamlı teknik veya olay müdahale deneyimini en önemli özellik olarak gördü. Katılımcılar, yüksek stresli durumlarda ekipleri yönlendirme, iş zekası ve karmaşık fikirleri basit iş terimleriyle ifade edebilme gibi liderlik özelliklerinin kritik olduğunu vurguladı.
ISC2'ye göre, katılımcılar için dört uygulama özellikle önemliydi: Riskler, öncelikler ve zorluklar konusunda net ve dürüst iletişim kurmak; belirsizlik dönemlerinde tutarlı ve sakin karar almak; güvenlik işlevinin ötesinde ilişkiler kurarak iş hedeflerini anlamak ve güvenliği bir engelleyici değil, kolaylaştırıcı olarak konumlandırmak; ve ekipleri güçlendirerek destekleyici, hesap verebilir bir ortam yaratmak. Rapor, 'Sonuç olarak, en başarılı siber güvenlik liderleri sadece sistemleri ve verileri koruyanlar değil, en kritik anlarda liderliklerine güven yaratanlardır' sonucuna vardı.