Bare et godt råd til it-sikkerhedschefen: Tal forståeligt, din fremtid afhænger af det

Klumme: Sådan får du virksomhedsledelsen til at forstå dig, når du taler om it-sikkerhed.

Denne klumme er et debatindlæg og er alene udtryk for skribents synspunkter.

”Vi bør investere i et IDS, der på længere sigt kan udbygges til et IPS. Det er nødvendigt for at imødegå truslen fra APT’er.”

Kan du høre dig selv sige den sætning til dine overordnede? Så har du et problem, som du deler med mange af os sikkerhedsfolk.

Det handler om kommunikation. Som sikkerhedsansvarlig er det mindst lige så vigtigt, at du kan kommunikere klart og tydeligt, som at du har styr på det it-faglige.

Jeg mener ikke, vi kan bebrejde forretningsledelsen, hvis den ikke forstår den sætning, jeg indledte denne klumme med. Det er ikke en direktørs opgave at kende til IDS’er, IPS’er og APT’er.

Jeg vil bede dig overveje fem spørgsmål:

• Kommunikerer du klart med din ledelse?

• Ved din ledelse, hvor virksomheden står i forhold til ressourcer og mål til sikkerhed?

• Ved du selv, hvilken retning sikkerhedsskibet skal sejle?

• Ved dine medarbejdere, hvorfor de møder på arbejde om morgenen?

• Er det dig selv, der er svær at forstå?

Kommunikerer du klart med din ledelse?
Ledere tænker i strategier, taktikker og risici. Derfor er de lettere at få i tale, hvis du taler deres sprog.

I stedet for at tale om APT’er (Advanced Persistent Threats) må du overveje, hvilke konsekvenser truslerne kan få. Så kan budskabet til ledelsen lyde:

”Vi har opdaget nogle angrebsforsøg, der ser ud til at stamme fra en nationalstat. De medfører risiko for industrispionage, hvor vi kan miste vigtige forretningshemmeligheder. Den risiko kan vi mindske ved at investere i mere effektive værktøjer til at beskytte vores værdier.”

Når budskabet er formuleret, så modtageren forstår det, har du større chance for at få de ressourcer, du har brug for.

Ved din ledelse, hvor virksomheden står i forhold til ressourcer og mål til sikkerhed?
Alle vil gerne have nye funktioner. Ingen er interesseret i noget, der gør deres hverdag mere besværlig.

Det er den konstante udfordring for os som sikkerhedsansvarlige: Vi skal sælge budskabet om noget, der sjældent giver nye funktioner, og som nogle gange ligefrem stiller besværlige krav.

Det gør det ekstra vigtigt, at vi er på banen, når virksomheden indfører ny teknologi. Vi skal sørge for, at sikkerhedsvinklen er tænkt ind fra starten, før vi lancerer et nyt produkt eller en ny tjeneste.

Derfor skal ledelsen have at vide, at ethvert it-tiltag skal have et tilknyttet sikkerhedstiltag. Og den skal vide, hvad det koster.

Ved du selv, hvilken retning sikkerhedsskibet skal sejle?
Sidder du indimellem og behandler sikkerhedshændelser i jeres ticket-system? Så bruger du sandsynligvis din tid forkert.

Som ansvarlig for informationssikkerheden er det din opgave at bevare overblikket. Du skal ikke bruge din tid på detaljer.

Du skal vide, hvad vej du ønsker at styre organisationen, når det gælder sikkerhed.

Når du har afgjort det, er arbejdet kun lige begyndt. Næste skridt er at finde ud af, hvordan du gennemfører din strategi.

Ved dine medarbejdere, hvorfor de møder på arbejde om morgenen?
Medarbejderne er dem, der skal udføre strategien i praksis.

Derfor er det altafgørende, at de kender og forstår strategien.

Men det er ikke nok at kende strategien. Den enkelte medarbejder skal også vide, nøjagtig hvad vedkommende skal gøre i praksis, for at vi kan levere på vores strategi.

Det gælder både den overordnede virksomhedsstrategi og den strategi for informationssikkerhed, som du er ansvarlig for.

Hvis dine medarbejdere ikke ved, hvorfor de møder på arbejde, er det sværere at holde på dem. Det er et problem i en tid, hvor det er en udfordring at finde kvalificerede sikkerhedsfolk.

Også de, der ikke direkte arbejder med sikkerhed, skal kende sikkerhedsstrategien og efterleve den. Jo flere der er opmærksomme på sikkerheden, desto færre problemer bliver der, som dine sikkerhedsfolk skal rydde op efter.

Er det dig selv, der er svær at forstå?
Måske har du selv afleveret en sætning i stil med den, jeg skrev i begyndelsen af denne klumme.

Hvis du har oplevet, at topledelsen ikke gav dig de ressourcer, du bad om, er det en anledning til selvransagelse.

Budskabet er rigtigt nok. Der er sikkert heller ikke noget i vejen med ledelsen.

Problemet ligger i den måde, budskabet blev kommunikeret på. Hvis ledelsen ikke har forstået budskabet, er det ikke ledelsen, men budskabet og dermed afsenderen af budskabet, der har fejlet.

Så måske skal dit næste kursus ikke handle om sikkerhedsteknologi – men om kommunikation mellem mennesker?

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.



Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Premium
Afsløring: KMD kalder det "ny viden" - men selskabet har kendt til problematisk udflytning af persondata siden 2014
KMD har hidtil fastholdt, at det har været "ny viden" for selskabet, at følsomme persondata fra landets jobcentre ikke må sendes ud af landet. En SKI-aftale viser dog, at KMD har kendt til reglerne siden 2014. "Selv i det omfang, at KMD ikke har haft de fornødne juridiske kompetencer, burde alle advarselslamper da have blinket i forhold til teksten i SKI-aftalen," lyder det fra juridisk ekspert.
Computerworld
Google indfører Android-gebyr efter kæmpe EU-bøde: Android-producenter skal nu betale for brug af Google-tjenester
Efter sommerens kæmpe EU-bøde indfører Google licensbetaling for Android-producenters brug af blandt andet Play Store. Men "Android vil forblive gratis og open source," lyder det fra selskabet.
CIO
Forleden reparerede en mekaniker min bil: Det kostede 4.200 kroner, som min hjerne snød mig til at betale med et smil
De rationelle it-beslutninger du træffer er måske en illusion. Det lærte jeg da min bil gik i stykker og min hjerne snød mig til at tro, at alt var fint. Til gengæld fandt jeg tre fælder dine it-beslutninger kan falde i.
Job & Karriere
Her er syv job-annoncer der overrasker med helt usædvanlige overskrifter
Der er mange ledige it-job i øjeblikket. It-jobbank har her fundet syv spændende stillinger, der har det til fælles, at annoncen har en utraditionel overskrift.
White paper
Test jeres it-sikkerhed gratis i 14 dage med Cisco AMP - og få rapport med resultaterne direkte i din indbakke
Du kan nu - kvit og frit - teste banebrydende it-sikkerhedsløsninger fra Cisco. Cisco AMP er en Advanced Malware Protection-løsning, som sikrer dig kontrol med alle jeres endepunkter. Mens klassisk antivirus-software reagerer på filer, som umiddelbart genkendes som farlige, bliver AMP ved med at analysere potentielt farlige filer i hele netværket. Helt automatisk og 24 timer i døgnet. Efter 14 dage modtager du en rapport direkte i din indbakke med identificeret, blokeret og fjernet malware samt en vurdering af sikkerhedsniveauet i jeres endepunkter Når du booker en trial, registrerer vi dig i vores system og retter henvendelse til dig via en af vores partnere inden for ganske få dage. Trialløsningen er enkel at installere og kræver ingen ny hardware.