En CISO taler ud: Her er prisen for en CISO - og den pris, som en CISO betaler for at være det

Klumme: En billig CISO kan hurtigt blive dyr. Men det kan også hurtigt blive dyrt for CISO'en at være CISO.

Artikel top billede

(Foto: Dan Jensen)

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.

Prisen for en CISO.

Overskriften dækker over to ting: Prisen, en virksomhed skal betale for en CISO, og prisen, en CISO skal betale for at være det.

Lad os se på dem i den nævnte rækkefølge.

Den samlede sikkerhedstrussel er eksponentielt stigende i disse år. Derfor er behovet for sikkerhed det selvfølgelig også.

Man skulle derfor mene, at CISO'ers lønninger var hastigt stigende således, at de i det mindste i nogen grad stod mål med rollens kontinuerligt øgede vigtighed.

Dette er dog desværre ikke tilfældet.

Sådan er det gerne med nye ting eller tiltag: De skal igennem fire faser, som Gandhi engang beskrev som følger: ”First they ignore you, then they laugh at you, then they fight you, then you win."

CISO-rollen ingnoreret i mange år

Historisk set har CISO'en gennemgået en stor del af den samme udvikling.

I mange år blev rollen ignoreret af ledelsen i firmaer verden over.

Dernæst blev selve fagområdets vigtighed søgt negligeret af chefer, der med deres salgserfaring og merkantile uddannelse mente sig i stand til bedre at forstå den nye tids trusler mod de firmaer, hvis ve og vel de var ansvarlige for.

Nu er det langt om længe ved at gå op for ledelser, at sikkerhed ikke bare er vigtig men essentiel for deres firmaers overlevelse.

Denne udvikling er, siger de, kommet bag på dem, men dette skyldes ene og alene, at de igennem de sidste mange år med fuldt overlæg har negligeret det stadig stigende behov for sikkerhed, så det til sidst blev til et problem.

Dette gjorde, at problemet, da det endelig ramte frontallappen hos de herrer og damer, havde opnået en sådan størrelse, at det var næsten umuligt at håndtere – endsige løse.

Havde man udvist rettidig omhu - for nu at bruge et godt udtryk fra et firma, der tilsyneladende valgte ikke at efterleve det - havde man forhindret problemet i at vokse sig så stort.

Havde man, som Romerne, udkæmpet slaget for at undgå krigen, var alle firmaer bedre stillet nu.

Men dér er man ikke.

Er opgaven forstået?

I de forskellige firmaer søger man at løse problemet med ”det dér sikkerhed” ved at ansætte en sikkerhedsansvarlig og give vedkommende titel af ”CISO.”

Når jeg ser et sådant jobopslag, bliver jeg en lille smule opgivende.

Det er, som jeg tidligere har argumenteret for, ene og alene topledelsen, der er ansvarlig for sikkerheden. Derfor kan den kandidat, der sikrer sig jobbet, ikke være sikkerhedsansvarlig.

Ud over det bør man forstå, hvad titlen reelt betyder og bør indebære.

Skriver man i et jobopslag, at man søger en CISO, giver man reelt udtryk for, at man leder efter en oberst.

Giver man derefter vedkommende samme arbejdsopgaver som en konstabel og lader ham referere til en major, bør to ting stå helt klart: Ledelsen har ikke forstået opgaven, og staklen, den har ansat, har ikke en jordisk chance for at lykkes.

Hvis man så oven i købet aflønner vedkommende som en kaptajn, har man blot føjet spot til skade.

C'et i "CISO" står for "Chief," ikke for "Captain."

Og det er en ”Chief,” man har brug for!

Erfaring koster

Næsten en hvilken som helst CISO kan forbedre virksomhedens sikkerhedsniveau – hvis topledelsen vel at mærke lytter - men det er kun en dygtig een, der kan hjælpe med til at forbedre det hurtigere, end truslen vokser - og dermed mindske det reelle trusselsgap.

Men dygtighed kommer gerne af erfaring. Og erfaring koster.

Må jeg derfor høfligt henstille til de forskellige firmaers topledelser, at de gør sig klart, hvad de ønsker, inden de spilder deres penge og alle de involveredes tid.

Når de frem til, at det, de reelt har behov for, er en CISO, vil jeg anbefale, at de vælger den dygtigste og mest erfarne kandidat, de kan få, indsætter vedkommende i topledelsen og lønner derefter.

Det betaler sig på sigt, for:

Det eneste, der potentielt koster mere end erfaring, er mangel på samme.

En billig CISO kan hurtigt blive dyr!

Den svære udvælgelse

Men det kan også hurtigt blive dyrt for CISO'en at være CISO.

Problemerne starter som nævnt ovenfor ofte allerede, når et firma beslutter sig for at gøre noget ved ”det dér sikkerhed.”

De ansvarlige besidder måske ikke den nødvendige viden til at formulere firmaets reelle behov, og det gør det selvsagt svært at forklare sig til de, der skal finde passende kandidater.

Hvis rekrutteringbureauet heller ikke er tilstrækkeligt vidende om sikkerhedsområdet, resulterer det i, at de blinde leder de blinde – med perler som: ”Vi søger en CISO, der er hands-on” - og ufatteligt ufrugtbare ansættelsesforløb som følge.

Jeg har eksempelvis prøvet at være til jobsamtale, hvor testen gik ud på at se, hvordan jeg ville fungere som CEO for en virksomhed. Meget spændende altsammen. Bortset fra at jeg var til samtale om en stilling som CISO ...

Til den efterfølgende evaluering nævnte jeg, at Einstein engang havde sagt noget i stil med: "Hvis man bedømmer en fisk på dens evne til at klatre i træer, vil den stå sig dårligt derved."

Jeg konstaterede derefter tørt, at vi nu havde fået rangeret de helt rigtige kandidater - til den helt forkerte stilling - men, at firmaet meget gerne måtte kontakte mig, hvis det en dag skulle bruge en CISO.

Problemet med arbejdsopgaverne

Jeg véd ikke, hvem de valgte, men vedkommende har nok ikke fået de samme arbejdsopgaver, som testen lagde op til.

Og lige præcis dette er et andet, vigtigt punkt. For, hvis nu man, på trods af eventuelt håbløse tests og forkert organisatorisk placering af CISO'en, får hyret en god kandidat, står man over for et nyt problem: Arbejdsopgaverne.

Nu har man jo ansat en CISO - een, der kan sørge for, at firmaet overholder alle de forskellige compliancemæssige krav (?!?) Man vil jo nødigt have bøder.

Sikkerheden er vel mestendels klaret, når man er compliant, mener man, så det kan ikke være nogen stor ekstrabelastning at gøre vedkommende ansvarlig for det også.

Ud over dette er der jo selvfølgelig brug for lidt hjælp til de tekniske småting som patchning, backup, konfigurering af firewalls, segmentering af netværk, uddannelse af brugere, fysisk sikkerhed, business continuity, disaster recovery (har vi overhovedet brug for disse to, når vi nu allerede er sikret?) GDPR og alt det andet papirnusseri med kedelige navne som ISO, ISAE, PCI-DSS, NIS, NAS, nus og .... ja, det er jo mange småting, men det er heldigvis kun småting.

Og til disse har man, igen heldigvis, netop hyret en person.

Som i "een person.”

Umulig opgave og farligt for helbredet

Det er min påstand, at ingen enkeltperson kan håndtere samtlige opgaver inden for alle de nævnte områder i et firma af bare minimal størrelse.

Ydermere mener jeg ikke at have mødt nogen enkeltperson med tilstrækkelig viden om samtlige områder.

I praksis vil de daglige opgaver derfor være både alt for mange og for forskelligartede til, at een ressource kan nå at løse eller blot forstå dem.

Og der vil helt sikkert ikke være tid til strategisk tænkning.

Dette er en skidt situation, for CISO'en skal, som navnet lægger op til, netop fungere på strategisk niveau. Man må håbe, at han/hun har en teknisk baggrund, men konfigurering af firewalls og ”Sænke Slagskibe” med kablerne i krydsfeltet skal ikke længere være en del af arbejdsopgaverne.

Ergo er mange CISOer i den situation, at de:

• Har alt for mange opgaver

• Inden for alt for forskelligartede områder

• Hvoraf mange ligger på det forkerte niveau rent organisatorisk

Dette er ikke særligt befordrende for helbredet.

Ifølge en undersøgelse i ZDNet er den gennemsnitlige ”levetid” for en CISO da også kun 26 måneder.

Ønsker man som firma, at ens CISO holder længere end en door gunner i ´Nam, bør man holde sig disse ting for øje.

Det er heller ikke særligt befordrende for firmaets sikkerhedsniveau.

Har man ansat en dygtig og erfaren CISO, er man godt på vej, men det kræver mere end een person at sikre et firma.

Står man alene, er prisen for at være en CISO for høj.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.

Computerworld Events

Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.

Sikkerhed | Højbjerg, Aarhus

Cyber Security Summit 2026 - Aarhus

Lær om organisationers evne til at modstå, håndtere og komme videre efter alvorlige digitale hændelser, herunder ledelsesansvar, forretningskritiske afhængigheder og de valg, der afgør, om plan B holder, når systemer eller leverandører svigter.

Digital transformation | Aarhus

AI i det offentlige - Aarhus

Hør hvordan offentlige AI-løsninger skaleres til stabil drift med reel effekt. Få erfaringer, arkitekturvalg og styringsgreb fra frontløbere. Lær at bygge fælles AI-infrastruktur med ansvarlighed, sikkerhed og compliance.

Digital transformation | Køge

Derfor skal du videre fra Dynamics AX – og sådan gør du

Computerworld giver klar viden om vejen videre fra Dynamics AX. Du ser forskellen mellem AX og moderne cloud-ERP og får et konkret beslutningsgrundlag for næste skridt. Tilmeld dig og få styr på skiftet til Dynamics 365 FO eller BC.

Se alle vores events inden for it

Navnenyt fra it-Danmark

Trafikstyrelsen har pr. 1. maj 2026 ansat Nihad Hodzic som IT og Digitaliseringschef. Han skal især beskæftige sig med med IT-projekter og digital transformation, herunder især det strategiske løft af Trafikstyrelsens digitale niveau. Han kommer fra en stilling som Kontorchef hos Udviklings og Forenklingsstyrelsen. Han er uddannet i statskundskab og har en lederuddannelse fra MIT Sloan, samt en igangværende Master i IT-Ledelse. Han har tidligere beskæftiget sig med IT-udvikling og større projekter på momsområdet, hvor han har ledet et projekt- og udviklingskontor. Nyt job

Nihad Hodzic

Trafikstyrelsen

netIP har pr. 1. juni 2026 ansat Heidi Winther som Supportkonsulent ved netIP's kontor i Herning. Hun kommer fra en stilling som IT-Supporter hos Holstebro Kommune. Nyt job
Den danske eID-virksomhed Idura har pr. 1. april 2026 ansat Kari Lehtimäki som Country Manager. Han skal især beskæftige sig med at styrke kendskabet til Iduras løsninger i Finland samt fremme samarbejdet med økosystemet omkring det finske Trust Network. Han kommer fra en stilling som Salgschef hos Telia Finland. Han er uddannet uddannet civilingeniør (M.Sc. Tech.) og medbringer ledelse, markedsindsigt og praktisk erfaring. Han har tidligere beskæftiget sig med salg og forretningsudvikling inden for Telias trust services-forretning. Nyt job

Kari Lehtimäki

Den danske eID-virksomhed Idura

Steen Marquard,  Jabra, er pr. 15. juni 2026 udnævnt som Regional President for Norden og UK. Han er uddannet HD(O). Han beskæftiger sig med I sin nye rolle får Steen ansvar for at videreudvikle salget af virksomhedens professionelle lyd- og videoløsninger, samt styrke samarbejdet med channel teams og partnere på tværs af regionen. Udnævnelse