[KRÖNIKA] För bara drygt fem år sedan uppgav 74 procent av beslutsfattarna att de inte tyckte att säkerhetschefen hade en självklar plats i styrelserummet – och mer än 60 procent trodde att it-säkerhetschefen skulle misslyckas med frågor som inte var direkt relaterade till säkerhet.
Lyckligtvis är den bilden på väg att förändras. En nyligen publicerad rapport visar att 68 procent av beslutsfattarna tycker att säkerheten har fått en viktigare roll i organisationen. 77 procent anser att säkerhetschefen har fått ett större inflytande som en följd av detta.
I praktiken är det dock fortsatt ett problem. Enbart 4 procent av företagen på Fortune 500-listan som har en säkerhetschef på plats listar denna på sin ledarsida. Överlag uppger 50 procent av it-säkerhetscheferna att de någon gång upplevt en ansträngd situation med andra avdelningar.
Cybersäkerhet i allmänhet är något som genererar uppmärksamhet först när något allvarligt inträffar. Enkelt förklarat: it-säkerhetschefen ställs till svars vid en incident men får sällan beröm för det kontinuerliga säkerhetsarbetet.
Varför det ser ut så här är svårt att finna något enkelt svar på. Det är dock tydligt att det existerar ett glapp mellan it-säkerhetschefen och ledningsgruppen – och att det inte lär räcka med en styrelseplats för att allt ska lösa sig. Snarare behöver kommunikationen konkretiseras för att samtliga inom ledningsgruppen ska förstå affärsnyttan av ett väl fungerande säkerhetsarbete.
Lås oss ta ekonomichefen som ett exempel. Denna rapporterar kring organisationens finansiella situation genom att använda mätvärden, argument och riskkalkyleringar som ledningsgruppen är väl införstådda med. Detsamma kan inte sägas om cybersäkerhet där det för den som inte är insatt är svårare att sätta sig in i de grundläggande problemformuleringarna. Det finns sällan några enkla lösningar att ge eftersom säkerhetslandskapet ständigt förändras. Det som var gångbart i går kan mycket väl vara utdaterad i morgon.
Därför behöver it-säkerhetschefen undvika att delta i alltför tekniska konversationer och istället fokusera på det värde arbetet tillför organisationen. Alla diskussioner måste börja och sluta med riskkalkylering: risken för företaget, dess data, dess varumärke och dess rykte.
Ansvaret för att få till en mer gångbar kommunikation är dock tvådelad. För på samma gång behöver ledningsgruppen involvera it-säkerhetschefen i det dagliga beslutsfattandet och låta denna fungera som en strategisk rådgivare. Säkerhet är inte något som bör stökas av under femton minuter varje kvartal.
Låt den nuvarande pandemin fungera som ett exempel på hur kritiskt det är att säkerhet lyfts högre upp på agendan. Medan organisationer över hela världen tvingats anpassa sig till en ny typ av verklighet är det säkerhetschefens uppgift att övergången till distansarbete löper smärtfritt utan några konsekvenser. Bland mycket annat.
Det vore alltså ingen överdrift att påstå att it-säkerhetschefen för tillfället befinner sig i centrum av den övergripande affärsstrategin. Och så lär det fortsatt se ut även när vi återgår till en mer normal situation. Att det faktumet inte bättre avspeglar sig i styrelserummet riskerar att få mycket allvarliga effekter på verksamheten.
Av Andy Rose Resident CISO, Proofpoint.