O que torna esta situação especialmente desafiadora é que, no final das contas, os CISOs ainda são responsabilizados pelas falhas. Quando uma violação ou vulnerabilidade é revelada, é o CISO quem arca com o peso. Espera-se que administrem e previnam estes incidentes, mas sem a autoridade para aplicar as medidas necessárias, estão fadados ao fracasso.
É uma situação que poucos outros líderes na experiência do C-suite: o CEO, por exemplo, controla as decisões relativas à direção estratégica e aos recursos da empresa, mas espera-se que os CISOs evitem violações sem o mesmo nível de controlo. Eles têm responsabilidade sem comando, um modelo que não prepara ninguém para o sucesso.
Esta falta de comando não afecta apenas a segurança organizacional; também afeta os relacionamentos do CISO, tanto interna quanto externamente. Os CISOs muitas vezes precisam se comunicar com membros do conselho, colegas e partes interessadas para explicar medidas de segurança, abordar ameaças potenciais e discutir estratégias de mitigação de riscos.
