เรื่องเล่าจากเบื้องหลังความไม่พอใจของ CISO: เมื่อคนที่ต้องรับผิดชอบมากที่สุด กลับไม่มีที่นั่งในห้องที่สำคัญที่สุด

จากรายงานปี 2025 โดย IANS และ Artico Search พบว่าเกือบ 40% ของ CISO ในองค์กรขนาดกลางและเล็กไม่มีสิทธิ์เข้าถึงบอร์ดบริหารเลย และในกลุ่มนี้ ครึ่งหนึ่งรายงานว่ารู้สึกไม่พอใจในงานที่ทำอยู่

CISO หลายคนถูกจ้างในระดับ “ผู้จัดการอาวุโส” หรือ “ผู้อำนวยการ” แต่ถูกเรียกว่า CISO โดยไม่มีอำนาจหรือขอบเขตงานที่แท้จริง พวกเขามักต้องรายงานต่อ CIO หรือ CTO ซึ่งมีเป้าหมายด้านเทคโนโลยี ไม่ใช่ความปลอดภัย—และเมื่อมีความเสี่ยงที่ไม่ถูกจัดการ ก็กลายเป็นว่า CISO ต้องรับผิดชอบโดยไม่มีโอกาสสื่อสารกับบอร์ดเลย

George Gerchow จาก Bedrock Security เล่าว่าเขาเคยอยู่ในตำแหน่งที่ไม่สามารถพูดคุยกับหัวหน้าหรือบอร์ดได้โดยตรง จนทีมของเขาเริ่มลาออก และสุดท้ายเขาต้องออกจากตำแหน่งนั้นเอง เขาจึงระบุในสัญญางานใหม่ว่า “ต้องรายงานตรงต่อ CEO หรือบอร์ดเท่านั้น”

แม้บางองค์กรจะให้ CISO เข้าถึงบอร์ดได้ แต่คำถามคือ “ใช้โอกาสนั้นได้ดีแค่ไหน” เพราะการพูดถึง CVE หรือ ransomware gang อาจทำให้บอร์ดเบื่อและมองว่า CISO ไม่เข้าใจธุรกิจ การสื่อสารที่ดีต้องเชื่อมโยงความเสี่ยงกับผลกระทบทางธุรกิจ เช่น รายได้ที่หายไป หรือความเชื่อมั่นของลูกค้าที่ลดลง

Andy Land จาก CISO Executive Network แนะนำว่า CISO ต้องสร้างความสัมพันธ์กับผู้บริหารระดับ C ก่อน เพื่อเข้าใจเป้าหมายของแต่ละฝ่าย และใช้สิ่งนั้นเป็นสะพานไปสู่การสื่อสารกับบอร์ดอย่างมีประสิทธิภาพ

สถานการณ์การเข้าถึงบอร์ดของ CISO
40% ของ CISO ในองค์กรขนาดกลางและเล็กไม่มีสิทธิ์เข้าถึงบอร์ด
50% ของกลุ่มนี้รายงานว่ารู้สึกไม่พอใจในงาน
CISO ที่มีสิทธิ์เข้าบอร์ดรายไตรมาส มีความพึงพอใจเพียง 8%

ปัญหาโครงสร้างการรายงาน
CISO มักรายงานต่อ CIO หรือ CTO ซึ่งมีเป้าหมายต่างกัน
ความเสี่ยงที่ไม่ถูกจัดการอาจถูกกดไว้ ไม่ถูกนำเสนอถึงบอร์ด
CISO กลายเป็นผู้รับผิดชอบเมื่อเกิดเหตุการณ์ แม้ไม่มีอำนาจในการตัดสินใจ

ผลกระทบต่อความมั่นคงและความผูกพันในงาน
CISO หลายคนลาออกหรือเปลี่ยนสายงานเพราะรู้สึกไม่มีอำนาจ
อายุเฉลี่ยของตำแหน่ง CISO อยู่ที่ 18–26 เดือน
การเปลี่ยนแปลงโครงสร้างองค์กรอาจทำให้ช่องทางสื่อสารถูกตัดขาด

แนวทางการสร้างความสัมพันธ์กับบอร์ด
ต้องเริ่มจากการเข้าใจเป้าหมายของผู้บริหารระดับ C
สื่อสารความเสี่ยงในรูปแบบที่เชื่อมโยงกับรายได้, pipeline, และ churn
หลีกเลี่ยงการพูดเชิงเทคนิคที่ไม่เชื่อมโยงกับผลกระทบทางธุรกิจ

https://www.csoonline.com/article/4049347/lack-of-board-access-the-no-1-ciso-dissatisfaction.html
🎙️ เรื่องเล่าจากเบื้องหลังความไม่พอใจของ CISO: เมื่อคนที่ต้องรับผิดชอบมากที่สุด กลับไม่มีที่นั่งในห้องที่สำคัญที่สุด จากรายงานปี 2025 โดย IANS และ Artico Search พบว่าเกือบ 40% ของ CISO ในองค์กรขนาดกลางและเล็กไม่มีสิทธิ์เข้าถึงบอร์ดบริหารเลย และในกลุ่มนี้ ครึ่งหนึ่งรายงานว่ารู้สึกไม่พอใจในงานที่ทำอยู่ CISO หลายคนถูกจ้างในระดับ “ผู้จัดการอาวุโส” หรือ “ผู้อำนวยการ” แต่ถูกเรียกว่า CISO โดยไม่มีอำนาจหรือขอบเขตงานที่แท้จริง พวกเขามักต้องรายงานต่อ CIO หรือ CTO ซึ่งมีเป้าหมายด้านเทคโนโลยี ไม่ใช่ความปลอดภัย—และเมื่อมีความเสี่ยงที่ไม่ถูกจัดการ ก็กลายเป็นว่า CISO ต้องรับผิดชอบโดยไม่มีโอกาสสื่อสารกับบอร์ดเลย George Gerchow จาก Bedrock Security เล่าว่าเขาเคยอยู่ในตำแหน่งที่ไม่สามารถพูดคุยกับหัวหน้าหรือบอร์ดได้โดยตรง จนทีมของเขาเริ่มลาออก และสุดท้ายเขาต้องออกจากตำแหน่งนั้นเอง เขาจึงระบุในสัญญางานใหม่ว่า “ต้องรายงานตรงต่อ CEO หรือบอร์ดเท่านั้น” แม้บางองค์กรจะให้ CISO เข้าถึงบอร์ดได้ แต่คำถามคือ “ใช้โอกาสนั้นได้ดีแค่ไหน” เพราะการพูดถึง CVE หรือ ransomware gang อาจทำให้บอร์ดเบื่อและมองว่า CISO ไม่เข้าใจธุรกิจ การสื่อสารที่ดีต้องเชื่อมโยงความเสี่ยงกับผลกระทบทางธุรกิจ เช่น รายได้ที่หายไป หรือความเชื่อมั่นของลูกค้าที่ลดลง Andy Land จาก CISO Executive Network แนะนำว่า CISO ต้องสร้างความสัมพันธ์กับผู้บริหารระดับ C ก่อน เพื่อเข้าใจเป้าหมายของแต่ละฝ่าย และใช้สิ่งนั้นเป็นสะพานไปสู่การสื่อสารกับบอร์ดอย่างมีประสิทธิภาพ ✅ สถานการณ์การเข้าถึงบอร์ดของ CISO ➡️ 40% ของ CISO ในองค์กรขนาดกลางและเล็กไม่มีสิทธิ์เข้าถึงบอร์ด ➡️ 50% ของกลุ่มนี้รายงานว่ารู้สึกไม่พอใจในงาน ➡️ CISO ที่มีสิทธิ์เข้าบอร์ดรายไตรมาส มีความพึงพอใจเพียง 8% ✅ ปัญหาโครงสร้างการรายงาน ➡️ CISO มักรายงานต่อ CIO หรือ CTO ซึ่งมีเป้าหมายต่างกัน ➡️ ความเสี่ยงที่ไม่ถูกจัดการอาจถูกกดไว้ ไม่ถูกนำเสนอถึงบอร์ด ➡️ CISO กลายเป็นผู้รับผิดชอบเมื่อเกิดเหตุการณ์ แม้ไม่มีอำนาจในการตัดสินใจ ✅ ผลกระทบต่อความมั่นคงและความผูกพันในงาน ➡️ CISO หลายคนลาออกหรือเปลี่ยนสายงานเพราะรู้สึกไม่มีอำนาจ ➡️ อายุเฉลี่ยของตำแหน่ง CISO อยู่ที่ 18–26 เดือน ➡️ การเปลี่ยนแปลงโครงสร้างองค์กรอาจทำให้ช่องทางสื่อสารถูกตัดขาด ✅ แนวทางการสร้างความสัมพันธ์กับบอร์ด ➡️ ต้องเริ่มจากการเข้าใจเป้าหมายของผู้บริหารระดับ C ➡️ สื่อสารความเสี่ยงในรูปแบบที่เชื่อมโยงกับรายได้, pipeline, และ churn ➡️ หลีกเลี่ยงการพูดเชิงเทคนิคที่ไม่เชื่อมโยงกับผลกระทบทางธุรกิจ https://www.csoonline.com/article/4049347/lack-of-board-access-the-no-1-ciso-dissatisfaction.html
WWW.CSOONLINE.COM
Lack of board access: The No. 1 factor for CISO dissatisfaction
As C-level executives, CISOs are accountable for anything that goes wrong but are not given the same C-level treatment and access that would help them execute their functions with authority.
0 Comments 0 Shares 29 Views 0 Reviews