Indledningsvist publiceret på ComputerWorld.
Af Nick Lyngaae Jørgensen, Partner, Strategic Security Advisor
CISO’en hører ikke naturligt hjemme i it-afdelingen, og det er i øvrigt slet ikke CISO’ens ansvar, at virksomhedens forsvar mod sikkerhedstruslerer er toptunet. Men CISO’en har alligevel en berettigelse som en del af topledelsen.
Mange firmaer er virkelig gode til at fejre en ny ordre, der kan indbringe dem en fortjeneste på fem millioner kroner.
Hvorfor er selvsamme firmaer så så dårlige til at beskytte sig mod en ny trussel, der kan medføre et tab på 500 millioner?
En del af svaret herpå er, at det at “tjene penge” – indrømmet – lyder en hel del mere sexet end det at “spendere penge på at sikre sig mod et eventuelt tab af flere penge.”
En anden del af svaret er, at informationssikkerhed, set i forhold til andre forretningsområder, stadig er relativt nyt. Derfor har det endnu ikke opnået nær samme status som de andre – og da slet ikke den status, dets vigtighed berettiger.
Dette er nogle af grundene til, at området historisk set har været placeret en tand længere nede i organisationen end andre, som eksempelvis salg, marketing, HR og legal.
CISO’en skal væk fra it-afdelingen
Oprindeligt blev området kaldt “it-sikkerhed,” da det jo “bare” var en del af it, og derfor refererede lederen, CISO’en, til virksomhedens CIO/CTO.
Nu er det dog efterhånden gået op for selv de mest “træge knallerter på kajen,” at det ikke er selve virksomhedens it men derimod dens informationer, der skal beskyttes, hvorfor man har omdøbt området til “Informationssikkerhed.”
Derfor er det ikke længere en given ting, at CISO’en skal være en del af it-organisationen.
Ydermere bør alt sikkerhedsarbejde, i hvert tilfælde i denne debattørs øjne, være risikobaseret.
Derfor nytter det selvfølgelig ikke at have CISO’en placeret, så han/hun refererer til chefen for et af de områder, der hyppigst findes sikkerhedsrisici indenfor – eksempelvis it eller netværk – for det kan dels medføre et habilitetsproblem og dels opstille en barriere, som CISO’en skal overkomme ifald der skal rapporteres opad om noget, der kan stille hans/hendes chef i et dårligt lys.
Ovennævnte – at CISO’en har “for langt op” eller, at der er for mange barrierer i vejen – kan, i yderste konsekvens, medvirke til, at virksomhedens samlede ledelse ikke bliver behørigt informeret om den sikkerhedsmæssige virkelighed, virksomheden opererer i, samt hvilke trusler den er udsat for.
Med den nuværende kombination af en afhængighed af information samt en eksponentielt stigende sikkerhedstrussel, giver det således ikke længere mening at bibeholde den hidtidige konstellation.
Ledelsen forstår det typisk ikke
For at sikre, at CISO’en placeres korrekt, er det dog vigtigt at anskue placeringen af ansvaret for virksomhedens sikkerhed korrekt. Og dette vil og/eller evner mange topledelser ikke.
Som et eksempel på denne problemstilling arbejdede jeg for en del år siden i et større firma, der fik en amerikansk chef.
Denne sørgede for, at der blev tilført en hel del amerikanere i ledelseslaget lige under ham, hvilket vel er naturligt nok.
Mange topchefer har en gruppe af mennesker, de har arbejdet sammen med tidligere, som de kender og véd, de arbejder godt sammen med og som de derfor ansætter, så hurtigt de kan.
I forbindelse med denne “evalueringsrunde” havde jeg er interview med een af de nye chefer, hvis rolle det var at evaluere, om jeg ville passe ind i den nye organisation.
Han og jeg var ærligt talt ikke enige om ret meget udi det sikkerhedsmæssige. Dette skyldtes til dels, at jeg er skolet i informationssikkerhed, hvorimod hans kompetencer var af en mere generel natur.
Til slut nåede vi til det punkt, hvor min ærede kollega relativt frustreret udbrød noget i stil med: “Vi kan vel i det mindste være enige om, at det er CISO’ens ansvar, at firmaet er beskyttet mod sikkerhedstrusler?”
Mit svar var, og er, følgende:
“Det er CISOens ansvar at informere topledelsen om den sikkerhedsmæssige situation, virksomheden befinder sig i, hvilke trusler af denne art, den står over for, samt hvad der kan gøres for at mitigere disse. Men ansvaret for virksomhedens sikkerhed er ene og alene topledelsens. Det er blandt andet det, førnævnte ledere får deres forhåbentligt gode løn for.”
Forkert placering af ansvaret
Påstår man, at sikkerhedsansvaret ligger hos CISO’en, forsøger man at pålægge denne ansvaret for noget, han/hun ikke har den tilstrækkelige kontrol over, og spilfægteriet vil ikke være andet end slet skjult ansvarsfraskrivelse.
Oplever man, rent sikkerhedsmæssigt, i en virksomhed, at der i ledelseslagene er folk, der i benægtelsens navn bekvemt sætter kikkerten for det blinde øje, som Nelson gjorde under slaget på Rheden, må man i klare og utvetydige vendinger lade disse faktaresistente individer forstå situationens alvor.
Virksomhedens sikkerhed er ene og alene topledelsens ansvar.
Dette kan hverken gradbøjes, outsources eller benægtes – kun accepteres.
Virksomhedens sikkerhed er en del af det ansvar, topledelsen har over for sine aktionærer, og som aktionær ville jeg helt sikkert føle mig utryg ved en topledelse, der ikke traf de nødvendige forholdsregler med hensyn til at beskytte firmaets aktiver.
Den globale sikkerhedsmæssige situation og udvikling taget i betragtning er det min holdning, at en topledelse, der ikke inkluderer virksomhedens CISO, ikke forstår den sikkerhedsmæssige situation og sit ansvar i den henseende, og som derfor ikke på dette vigtige punkt er sin opgave voksen.
Information og viden, og disses flow, er virksomhedens vigtigste assets. Hvordan de beskyttes bedst, forstår CISO’en bedst. Derfor skal CISO’en selvfølgelig være en del af topledelsen.