Artikel top billede

(Foto: Computerworld US/CIO)

Den forretningsorienterede CISO kan både spare forretningen penge og sikre virksomheden bedre

Klumme: Rigtigt mange virksomheder investerer dyrt i cybersikkerhed, men de lykkes alligevel ikke med at sikre virksomhedens vigtigste informationer godt nok.

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.

Hvad ville du investere mest i at beskytte fra indbrud – huset eller haveskuret?

For de flestes vedkommende er det nok huset, som indeholder flere værdigenstande end haveskuret.

Den samme balance burde gøre sig gældende når det kommer til at sikre sin forretnings vigtigste informationer.

Desværre investerer rigtig mange virksomheder dyrt i cybersikkerhed, og de lykkes alligevel ikke med at sikre virksomhedens vigtigste informationer godt nok.

Læsere af denne klumme ved, at dette emne er lidt af en kæphest for mig.

For virksomhedens eget bedste skal CISO’en kigge op fra skærmen og i stedet kigge ind i direktionslokalerne. Kun på den måde bliver pengene til sikkerhed investeret bedst muligt.

I mine øjne bliver dette kun mere og mere relevant. Der er flere hackerangreb, og mange virksomheder er milevidt bagefter de innovative hackere, som hele tiden opfinder nye måder at angribe på.

Det er bestemt ikke fordi, der ikke er penge til at sikre forretningen.

Faktisk viser undersøgelser, at der hvert år bruges flere penge på cybersikkerhed i virksomheder verden over.

Problemet er, at pengene ikke allokkeres effektivt. Pengene bruges for ofte på sikkerhed for sikkerhedens skyld.

Min pointe understreges i en ny undersøgelse fra mine kollegaer i Accenture, som definerer fire arketyper inden for modstandsdygtighed overfor cyberangreb, hvor de såkaldte ’cyber champions’, som navnet indikerer, tager kronen og har en langt bedre cybersikkerhed, fordi de tager CISO’en med ind i direktionslokalet og forbinder strategi med informationssikkerhed.

Fire arketyper: fra ‘business blockers’ til ‘cyber risk takers’

I undersøgelsen har vi defineret fire arketyper inden for cybersikkerhed, og vi har undersøgt, hvor mange penge der er at spare ved at bevæge sig ind i gruppen af ’cyber champions.’

Som de mest sårbare er gruppen ’the vulnerable’.

Denne gruppe har hverken fokus på forretning eller sikkerhed.

De er dog ikke så interessante i denne sammenhæng, da deres problemer er ret åbenlyse.

Det er mere interessant at kigge på dem, der rammer balancen forkert ud fra de bedste intentioner.

Her har vi først gruppen, som vi har kaldt ’business blockers’.

’Business blockers’ prioriterer sikkerheden og investerer faktisk en stor sum i den.

Dog har ’business blockers’ enten ingen eller meget begrænset sammenhæng mellem strategien og cybersikkerheden.

Det resulterer i, at der er et sikkerhedssystem, men det beskytter ikke nødvendigvis virksomhedens vigtigste områder og er til gene for forretningen, fordi det giver for meget besvær.

Hvis man skal blive i billedet med haveskuret og huset, så får de sat så meget unødvendig sikkerhed på haveskuret, at det bliver besværligt at få græsslåmaskinen eller sneskovlen frem i hverdagen.

Den næste gruppe kalder vi ’cyber risk takers’.

’Cyber risk takers’ har fokus på strategien og forretningen og tænker mindre på cybersikkerheden.

Det kan sammenlignes med, at de i vores metaforiske hus og skur lader alle døre stå åbne for egen nemheds skyld.

Men er det åbent for dig, er det åbent for alle – også hackere.

Sidst, men ikke mindst har vi gruppen ’cyber champions’, som lykkes med at finde den rigtige balance mellem forretning og sikkerhed. Måske en alarm og gode låse på huset og en simpel hængelås på skuret.

’Cyber champions’ tager kronen, fordi CISO’en iklæder sig sin strategiske hat og tager turen fra it-afdelingen op til direktionen.

Men hvorfor er der ikke flere ’cyber champions’?

Umiddelbart virker det oplagt at være ’cyber champion’. Så hvorfor er der ikke flere, der er det?

Mit bud er, at det er nemmere ikke at være det. Som ’business blocker’ er det langt nemmere at investere blindt i sikkerhed uden at tage højde for, om det beskytter eller hæmmer virksomheden.

Det samme gør sig gældende for ’cyber risk takers’, som prioriterer, at arbejdsgangene skal være nemme, over at virksomhedens informationer skal være sikre.

Desværre betyder det, at ’cyber risk takers’ og ’business blockers’ ikke rammer balancen.

Og ser man på bundlinjen, har det også meget at sige, hvilken gruppe man placerer sig i. Ved at ”opgradere” til ’cyber champion’-niveau kan ’business blockers’ reducere deres omkostninger ved angreb med 48 procent, ’cyber risk takers’ 65 procent og ’the vulnerable’ hele 71 procnet.

Det er klart, at grupperne i sådan en undersøgelse er karikerede.

Jeg møder rigtig mange dygtige CISO’er i danske virksomheder, hvor cybersikkerheden er i top. Det er de færreste af dem, der ikke har strategisk forståelse og en god dialog med forretningen om udfordringer.

Men jeg tror alligevel, at det er sundt en gang imellem at spørge sig selv, om man nu er ved at blive lidt for meget ’business blocker’ eller omvendt lidt for meget ’cyber risk taker.’

Er nye sikkerhedstiltag balanceret i forhold til forretningen? Og har investeringerne i sikkerhed fokus på de vigtige værdier, eller kommer vi en gang i mellem til at sætte for dyre låse på haveskuret?

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.




CIO
Årets CIO 2022: Nu skal Danmarks dygtigste CIO findes - er det dig? Eller kender du en, du vil indstille?