Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Sikkerhedsfunktionens mål støder ofte sammen med forretningens ambitioner.
Alt for ofte taler vi forbi hinanden, når det handler om informationssikkerhedens rolle i virksomheden.
Det er afgørende, at vi som CISO’er ikke blot forsøger at "sælge" sikkerhed til forretningen, men i stedet starter med det grundlæggende spørgsmål:
Forstår vi reelt, hvor forretningen bevæger sig hen – og hvordan vores arbejde med informationssikkerhed kan understøtte netop denne rejse?
Stakeholder management er en grundpille
Processen med at forstå forretningen begynder med stakeholder management. Essensen i stakeholder management er netop, at vi stræber efter at forstå hinanden.
Som sikkerhedsfunktion har vi et naturligt ønske om at forstå forretningens mål, prioriteter og udfordringer.
Men det er mindst lige så vigtigt, at forretningen forstår vores rolle og ansvar.
Denne gensidige indsigt skaber ikke alene grobund for samarbejde, men er også forudsætningen for, at vi kan levere sikkerhedstjenester med reel forretningsmæssig relevans.
Når jeg underviser CISO’er på Cyber Information Security Leader-uddannelsen, starter jeg med modulet "Lær dig selv at kende."
Formålet er at gøre deltagerne parate til stakeholder management. For at du kan lære andre at kende, er det nemlig en fordel, at du først kender dig selv.
Fra kontrollør til værdiskaber
Livet i informationssikkerhedens verden er ikke kun kontroller, krav og compliance.
Sikkerhedskulturen og vores evne til at skabe værdi gennem vores services er mindst lige så centrale.
For at kunne vise, hvordan vi skaber værdi, skal vi først forstå forretningens retning og behov.
Vi må undlade blot at pege på vores egne resultater. I stedet skal vi stille os selv spørgsmålet: Hvilke sikkerhedstjenester er nødvendige for at understøtte de konkrete forretningsmål?
Den værdi, vi tilfører et produkt, kan for eksempel være, at produktet bliver mere sikkert og stabilt. Det kan være en konkurrenceparameter.
Vores sikkerhedskrav kan også medføre, at et produkt eller en tjenesteydelse overholder krav som NIS2 eller DORA. Dermed kan det sælges til kunder, der kun vil købe produkter, som overholder bestemte regulatoriske krav.
I en traditionel virksomhed kan der let opstå en konflikt mellem forretningen og sikkerhedsfunktionen.
Forretningen beder udviklingsafdelingen udvikle et nyt produkt. Det skal ske hurtigt af hensyn til time to market.
Sikkerhedsfunktionen hører om projektet og stiller krav om, at udviklingsafdelingen bruger tid på at skrive mere dokumentation og sikkerhedsteste produktet.
Dermed bliver leveringstiden længere.
Men hvis forretningen og sikkerhedsfunktionen forstår hinanden, er de klar over, at der er værdi i sikkerhedsarbejdet. Derfor vil forretningen nu indregne tiden til øget dokumentation og sikkerhedstest, allerede når den aftaler projektet med udviklerne.
Fælles forståelse – men med integritet
Vejen til værdiskabelse går gennem en fælles forståelse af, hvordan vi griber sikkerhedsarbejdet an i praksis.
Her er det vigtigt at anerkende, at ledere kan have meget forskellige tilgange: Nogle er pragmatiske og søger fleksible løsninger, mens andre holder stædigt fast i principper og krav.
Hvis der ikke er en tydelig linje, risikerer vi, at organisationen bliver forvirret omkring, hvad ledelsen egentlig ønsker – og det skaber usikkerhed både for sikkerhedsfunktionen og forretningen.
Jeg har brugt denne grafik som udgangspunkt for en diskussion med lederne i min afdeling. Y-aksen går fra fordele til ulemper, mens x-aksen går fra striks overholdelse af processer og retningslinjer til en mere pragmatisk tilgang.
Diskussionen går på, hvor vi skal placere os: Skal vi altid kræve, at ethvert sikkerhedskrav efterleves fuldstændig? Eller er der plads til prioritering, hvor nogle krav vejer tungere end andre?
Jeg mener, at vi må balancere pragmatisme og streng overholdelse.
Men som jeg skrev i min seneste klumme, er en CISO’s integritet ikke til diskussion. Det er vores ansvar at sikre organisationens informationer.
Der vil opstå situationer, hvor vi skal være fleksible og finde løsninger, der matcher forretningens behov uden at gå på kompromis med vores grundlæggende principper eller integritet.
Det er i denne balance, at vi skaber reel værdi – og opbygger en sikkerhedskultur, der ikke blot beskytter, men også understøtter virksomhedens strategiske mål.
Forstå og bliv forstået
Som CISO’er er det vores ansvar at sikre, at informationssikkerhed ikke står isoleret, men integreres som en værdiskabende disciplin i forretningen.
Det kræver, at vi forstår – og bliver forstået af forretningen.
Her kan begrebet sikkerhedskultur være en hjælp:
Gennem aktiv stakeholder management, en balanceret tilgang til kontroller og kultur, samt en fælles forståelse af, hvordan vi sammen skaber værdi, kan vi løfte informationssikkerheden fra compliance til katalysator for forretningsudvikling.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.
