Få nu trukket firmaets informations-sikkerhedsansvarlige ud af it-afdelingen: De skal ikke sidde og nørde med firewalls

Klumme: Det er en helt uholdbar situation, at mange informations-sikkerhedsansvarlige fortsat er organisatorisk placeret i it-afdelingen. Vi har i den grad brug for et paradigmeskift.

Denne klumme er et debatindlæg og er alene udtryk for skribentens synspunkter.

Mens digitalisering og digital forretningsstrategi efterhånden er kommet på agendaen i de fleste direktionslokaler, så er mange informationssikkerhedsansvarlige stadig organisatorisk placeret nede i it-afdelingen, hvor de nørder med firewalls og kryptering af transportlag.

Det er efter min mening en helt uholdbar situation.

For informationssikkerhed er et af de vigtigste strategiske områder nu og i de kommende år, og en offensiv, forretningsorienteret tilgang til informationssikkerhed kan nemlig være det, der skiller vinderne fra taberne.

Vi har brug for et paradigmeskift.

Vi har brug for, at CISO’en – den informationssikkerhedsansvarlige – kigger op fra skærmen, pudser skoene og kommer oftere ind i direktionslokalet og ud i forretningen – og gør informationssikkerhed til et strategisk sigtepunkt begge steder.

Manglende sammenhæng
Accenture gennemførte for nylig en global undersøgelse, der afslørede en manglende sammenhæng mellem de bekymringer, direktionerne gør sig om informationssikkerhed, og de strategier, de sætter i værk.

Mange af de virksomheder, jeg kender til, gør det rigtig godt.

Men der er desværre stadig også mange, der ikke gør nok for at få informationssikkerhed helt ud i forretningen.

Et hovedproblem er, at de informationssikkerhedsansvarlige ikke har mandatet ude i forretningsenhederne.

Fra bits and bites til bundlinje
Det er ofte den dygtige tekniker, der bliver forfremmet og får ansvaret. Også inden for informationssikkerhed.

Men den tilgang bliver vi nødt til at ændre på.

Fremtidens CISO skal selvfølgelig være teknisk kompetent, men det er vigtigere, at vedkommende kan tale forretningens sprog – og ikke mindst anvise løsninger og strategier ud fra et forretningsperspektiv frem for et teknologisk perspektiv.

Et praktisk eksempel: Ud fra et rent sikkerhedsperspektiv kan det være den rigtige løsning at gennemføre hyppige tvungne skift af komplekse passwords for alle medarbejdere.

Men fra et forretningsperspektiv kan det blive for stort irritationsmoment i dagligdagen, for eksempelvis for sælgere eller konsulenter, der ofte skal bruge deres laptops til at præsentere løsninger hos kunder.

Det kunne også gælde kryptering, der beskytter data fra at blive læst af uvedkommende, men teknisk sløver et system.

Dette kan være et problem i nogle typer forretninger, hvor man ikke kan gå på kompromis med systemhastighed.

Kun 40 procent sparrer med forretningen
Vores undersøgelse viser, at kun 40 procent af de sikkerhedsansvarlige sparrer med ledere fra forretningen for at forstå forretningens behov, inden de foreslår et sikkerhedstiltag.

Det tal burde være 100 procent.

Ikke kun for at undgå at ”stå i vejen” for forretningen, men også i høj grad, fordi en CISO med den rigtige forretningsforståelse bør kunne anvende informationssikkerhed offensivt og gøre det til en differentiator på markedet.

Tag et område som Internet of Things, hvor der lige nu nærmest hersker lovløse tilstande.

Dem, der først knækker sikkerhedsproblemet, kommer til at vinde markedet.

Fremtidens CISO skal med at andre ord kunne formidle til ledelsen og forretningen, hvordan informationssikkerhed kan være en business enabler og ikke blot en udgift i budgettet.

Og så skal vedkommende også kunne begå sig langt bedre i det interne politiske spil, hvor placeringen typisk er langt nede i hierarkiet og med mange budgetejere, der skal tages i ed på vejen op.

Tag it-sikkerhed ud af it-afdelingen
Ud over at vinde den øverste ledelse på de bonede gulve, skal fremtidens CISO også formå at vinde resten af forretningen og få gjort informationssikkerhed til at fælles anliggende, som alle støtter op om.

Det er igen en opgave, der kræver forretningsforståelse frem for teknisk viden. Og der er brug for en stor forandring.

I vores undersøgelse peger 73 procent af de 1.400 adspurgte C-level ledere på, at it-sikkerhedskompetencer og -aktiviteter bør være spredt ud gennem organisationen.

Men alligevel er it-sikkerhed fuldstændig centraliseret i 74 procent af virksomhederne.

Der er lang vej igen
Vi har altså lang vej igen. Og ansvaret ligger ikke kun hos de it-sikkerhedsansvarlige.

Bestyrelser og direktioner bliver nødt til at være tydelige om, at de forventer, at it-sikkerhed er en del af forretningsdiskussionen, og ledere ude i forretningsenhederne skal invitere de it-sikkerhedsansvarlige med ind i ’maskinrummet.’

Og så er det bare om at pudse skoene og tage mod invitationen.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.






Computerworld
Biden sender skjult besked til kode-folket: "Hvis du læser dette, har vi brug for din hjælp”
En stående invitation er blevet opdaget i kildekoden på Det Hvide Hus' hjemmeside. Men den er kun til de eksperter, der selv kan finde den.
CIO
Podcast: Hos Viking Life-Saving Equipment er it gået fra at være backend til at være noget, som kunderne spørger aktivt efter
Podcast, The Digital Edge: Viking leverer en stadig større del af deres produkt som en tjeneste. Som en del af tjenesten tager Viking ansvar for sikkerheden ved at levere, dokumentere og vedligeholde det nødvendige sikkerhedsudstyr. Hør hvordan Henrik Balslev senior digital director hos Viking har løftet den opgave.
White paper
Digital transformation tvinger organisationer til at nå deres digitale mål på nye måder
Allerede for to år siden hævdede nordiske virksomheder, at virksomhedernes konkurrenceevne og sågar overlevelse var afhængig af en vellykket digitalisering. De var klar, fulde af håb og på vej mod det digitale paradis. Hvordan gik det så? Hvor er de nu? For at finde ud af det, interviewede DigiPlex og Norstat 377 forretningsledere og IT-beslutningstagere fra organisationer fordelt over hele Danmark, Sverige og Norge om deres digitaliseringsfremskridt, om hvordan de har håndteret pandemien, og om hvordan IT understøtter eller står i vejen for indfrielsen af deres bæredygtighedsmål. DigiPlex kan nu dele en rapport med resultaterne fra undersøgelsen samt tanker om, hvordan man håndterer dem. De deler også nogle nyttige tips til, hvordan man skaber en pålidelig infrastruktur, der kan tilskynde til og understøtte ambitioner i den digitale økonomi. Læs mere i rapporten Nordic Data Center Trends 2020: Riding out the Storm.