Den ökande vikten av emotionell intelligens (EQ) och andra mjukare färdigheter för att kunna arbeta mot fler intressegrupper inom och utanför organisationen har satt nya krav på IT-säkerhetscheferna (CISO:er).
Detta skapar också nya möjligheter för CISO:er att nu ta en mer ledande position inom organisationen.
Det visar en ny rapport från cybersäkerhetsleverantören F-Secure i samarbete med Omnisperience.
CISO-rollen har länge ansetts att i första hand vara en teknisk roll, där mer mjuka kunskaper haft mindre betydelse. I den serie djupintervjuer som genomförts bland CISO:er i USA och Europa i samband med denna rapport, framgår att den synen är föråldrad.
”För företagen har de tekniska delarna relaterade till cybersäkerhetsrisker inte kunnat särskiljas från andra typer av affärsrisker. Det är orimligt att se på attacker som bara ett IT- eller cybersäkerhetsproblem om dessa attacker potentiellt kan kosta företag tusentals eller hundratusentals dollar på grund av avbrott, utpressning, stulna immateriella rättigheter etc.,” säger Scott Goodhart, CISO emeritus på AES Corporation, som intervjuades för rapporten. “På ett sätt är teknik-CISO:er en del av dåtiden och har nu ersatts med en roll som man i organisationen uttryckligen förlitar sig på för att kunna hantera risker på ett mycket bredare och mer holistiskt sätt.”
Två tredjedelar av de intervjuade CISO:erna har noterat det växande behovet av EQ och dess betydelse för att hjälpa dem att förstå, känna empati för och att kunna diskutera med människor både inom och utanför organisationen – ett viktigt krav med tanke på CISO-rollens alltmer växande ansvarsområde.
Behzad Panahi, IT-säkerhetschef på UC i Sverige, berättar om hur han ser säkerhetsarbetet idag:
“Om du ska lyckas med säkerhetsarbetet måste du fördela ansvaret i två olika roller, en för informationssäkerhet och en för teknisk IT-säkerhet. Många organisationer förstår inte skillnaden, utan vill bara att någon “sköter säkerheten”. Inom sjukvården har du specialister som utför hjärtkirurgin, personer som övervakar värdena och andra som skriver ut medicin. Inom säkerhet har tekniken en del och det juridiska en annan, där organisationer som inte delar upp de båda rollerna får en utmaning. Däremot måste dessa funktioner kunna kommunicera och samverka med varandra, framför allt när det externa hotet är så påtagligt och påverkar alla nivåer. Det är jätteviktigt med både emotionell intelligens och teknisk kunskap för att kunna kommunicera, samarbeta, förklara och motivera beslut så att alla är med”
En tredjedel av de intervjuade IT-säkerhetscheferna indikerade att deras roll har förändrats från en roll med fokus på nätverksrisker till att nu täcka varje del av teknologin som installeras – en förändring som främst gäller för CISO:er som arbetar inom sjukvård, tillverkningsindustri och detaljhandel.
”Idag förväntas att CISO:er förstår och kan hantera en mängd olika risker. De förväntas även kommunicera denna information oavsett hur teknisk den är, till alla intressenter – från styrelser och anställda, till extern säkerhetspersonal, tillsynsmyndigheter och till och med rättsväsendet, på ett sätt så att alla kan ta till sig informationen”, säger Martin Lindgren, Country Manager, F-Secure i Sverige. ”Skiftet till att nu förlita sig på mer ’mjuka’ färdigheter började för flera år sedan. Pandemin har däremot kastat ljus på hur CISO:er som proaktivt arbetar med människor inom och utanför organisationer kan ta en mer ledande roll i företagen.”
Ytterligare insikter i rapporten:
- De allra flesta CISO:er kände sig trygga i sin roll när de intervjuades; lite fler än en tredjedel funderade på att lämna sin roll eller byta yrke
- Två tredjedelar av de intervjuade CISO:erna spenderade många timmar med externa intressegrupper, såsom CISO-gruppdiskussioner
- Regler och integritet ökade ansvaret för över hälften av de intervjuade CISO:erna
- 65% av de intervjuade CISO:erna såg sig själva som kritiskt viktiga i sin verksamheten