Många organisationer slår sig för bröstet och säger att de ”har en CISO”. Men när rollen placeras under IT-avdelningen är det bara kosmetika. Den som egentligen ska företräda verksamheten i säkerhetsarbetet reduceras många gånger till teknisk projektledare eller it-säkerhetsspecialist utan tillräckliga mandat, resurser eller möjlighet att företräda verksamheten. Det skriver Daniel Reinholdsson, vd, Cyber Defencely.
Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.
Att ”ha en CISO” har blivit ett sätt för många organisationer att visa att man tar informationssäkerhet på allvar. Men alltför ofta placeras rollen långt ner i hierarkin som en del av it-avdelningen. Resultatet blir en falsk trygghet för organisationen där ledningen tror att någon ”har koll på verksamhetens sårbarheter och risker”, men i verkligheten har den som bär titeln ofta huvudfokus på it-säkerhetsfrågor eller det som i folkmun kallas Cybersäkerhet.
Informationssäkerhet är inte en teknisk fråga, det är en strategisk verksamhetsfråga. När CISO:n göms i it-organisationen reduceras informationssäkerhetsfrågorna ofta till säkerhetsbrister i informationssystemen, nätverkssegmentering eller hantering av tekniska incidenter. Den organisation som placerar CISO på it-avdelningen riskerar därmed att abdikera från sitt ledningsansvar och framför allt ha svårigheter att efterleva kraven av den nya cybersäkerhetslagstiftningen som kommer införlivas i svensk lagstiftning vid årsskiftet.
En CISO som rapporterar till CIO kan sällan opåverkat peka på brister i it-organisationen som hen är underställd. Det leder direkt till en allvarlig intressekonflikt som riskerar att ledningen inte får en rättvisande bild av säkerhetsläget
Risken är mycket stor att det tekniska säkerhetsåtgärderna upptar huvudfokus, medan verksamhetsstyrning, riskhantering och ledningens ansvar hamnar i skymundan
Informationssäkerhet berör hela verksamheten. Om CISO sitter fast i it-avdelningens interna frågor blir det svårt att skapa ett verksamhetsdrivet säkerhetsarbete och man får sällan vara med som huvudnummer på organisationens verksamhetsdagar
Att inrätta en CISO-tjänst utan mandat, budget och direkt tillgång till ledningen är inte att stärka säkerheten det är att köpa sig en illusion. Det ser bra ut på organisationsschemat men i praktiken har man bara skapat en symbolfunktion utan verklig kraft att påverka. Flera rapporter visar dessutom att många CISO arbetar i motvind med höga krav, knappa resurser och brist på stöd från ledningen.
Det finns en enkel lösning:
För att lyckas med ett systematiskt och verksamhetsdrivet informationssäkerhetsarbetet så måste säkerhetsarbetet integreras i verksamhetens ordinarie verksamhetsprocesser. Därmed ska informationssäkerhetsmål finnas representerade i organisationens verksamhetsplan lika naturligt som affärsmålen
Rollen ska rapportera direkt till vd/gd eller styrelsen – inte gömmas i en ledningsgrupp på it-avdelningen
Utan rätt placering, tillräckliga mandat och resurser blir rollen tandlös och mer av ett rundningsmärke
Det är hög tid att ta ansvar. Att outsourca informationssäkerhet till it-avdelningen är inte längre hållbart. Ledningen måste sluta tro att en ensam CISO kan bära hela bördan eller driva en hel organisations säkerhets- och verksamhetsutveckling.
En CISO kan peka på risker och ge förslag men kan aldrig ensam förändra processer, beslutsvägar eller kulturen i en verksamhet. Informationssäkerhet måste därför integreras i styrningen och i den löpande verksamhetsutvecklingen. Det är ett ledningsansvar att sätta riktning, fördela resurser och säkerställa att detta arbete inte ses som ett sidospår – utan som en förutsättning för verksamhetens framtid.
Att gömma CISO på it är att blunda för verkligheten. Flytta upp rollen dit den hör hemma – i centrum av organisationens ledning och styrning.
Daniel Reinholdsson,
vd, Cyber Defencely, tidigare CISO
Aktuell Säkerhet jobbar för alla som vill göra säkrare affärer och är därför en säker informationskälla för säkerhetsansvariga inom såväl privat som statlig och kommunal sektor. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik
Anmäl dig till vårt nyhetsbrev!
Genom att klicka på "Prenumerera" ger du samtycke till att vi sparar och använder dina personuppgifter i enlighet med vår integritetspolicy.
