[KUNSKAPSSAMARBETE] CISO-rollen har utvecklats dramatiskt under de senaste åren.
Idag är CISO:er integrerade medlemmar i ledningsgruppen, formar strategier, översätter tekniska problem för olika intressenter och hanterar budgetar.
Det krävs mer än bara cybersäkerhet och teknisk kunskap — det krävs starka färdigheter i budgethantering, kommunikation och ledarskap.
Dessutom arbetar CISO:er under väldigt olika förutsättningar beroende på organisation. På vissa håll kanske de bara installerar en brandvägg, medan de i andra leder team med över 100 personer. Budgetar, områden, teamstorlekar och resurser kan variera kraftigt, vilket gör det svårt att skapa ett universellt mått för att bedöma en CISO:s prestation.
Daniel Lohrmanns artikel från 2018 väckte en viktig diskussion om hur man bedömer CISO:er i denna bredare roll. Med utgångspunkt i många års erfarenhet som CISO och mentor för andra säkerhets– och riskledare har jag anpassat Lohrmanns idéer något. I denna artikel reflekterar jag över fem viktiga grupper som CISO:er bör bygga relationer med, i en specifik ordning.
Lohrmanns verktyg för att betygsätta CISO:er
I sin artikel föreslog Lohrmann att man kan bedöma CISO:s effektivitet genom deras relationer med fem grupper av intressenter. Dessa områden speglar faktorer som tillit, respekt, projektresultat, kommunikationsförmåga och övergripande kompetens i att engagera sig med olika grupper som en CISO normalt interagerar med. De visar också på CISO:ns förmåga att leda och inspirera andra.
- Interna säkerhetsteamet: Relationer med säkerhetsteamet, inklusive direkt rapporterande personal.
- Interna kollegor i organisationen: Relationer med affärs- och teknikpersonal på motsvarande nivå inom organisationen. Detta inkluderar interna kunder.
- Ledningen: Relationer med chefer och andra högre chefer, inklusive den egna chefen och dennes kollegor.
- Leverantörer: Hur effektivt CISO:n arbetar med säkerhetsleverantörer, hanterar avtal, kontrakterar personal och utvärderar teknik.
- Externa kunder: Relationer med externa kunder, inklusive användare av företagets produkter och tjänster.
Som Lohrmann föreslår bör betygsättningen vara så enkel som möjligt. För att utvärdera en CISO ställs frågan: Har CISO:n en ”bra” (eller ”mycket bra” eller ”utmärkt”) relation med denna grupp? Respekterar och litar gruppen på CISO:n som sin säkerhetsrådgivare?
- Om endast en grupp litar på CISO:n: CISO:n är troligen illa ute om inte dennes chef starkt skyddar och stöttar hen.
- Om två grupper visar tillit och respekt: Det visar grundläggande kompetens, men är genomsnittligt.
- Om tre grupper litar på CISO:n: CISO:n presterar bra men bör fortsätta utvecklas.
- Om fyra grupper litar och respekterar CISO:n: Ovan genomsnittet.
- Om alla fem grupper litar på, respekterar och följer CISO:n: Det är kännetecknet på en exceptionell säkerhetsledare.
Så blir du en femstjärnig CISO: En steg-för-steg-guide
Jag har använt Lohrmanns betygsverktyg i flera år — först för att utvärdera min egen effektivitet som CISO, och senare som mentor. Med tiden har jag justerat hans modell något och ändrat prioriteringsordningen.
Jag utvärderar fem huvudområden, från viktigast till minst viktigt. För varje område används ett stjärnbetyg (1 till 5 stjärnor). Som CISO är det svårt att fokusera på mer än två till tre komplexa uppgifter samtidigt. För att säkra framsteg låter jag inte mina adepter gå vidare förrän de uppnått minst tre stjärnor i det aktuella området.
1. Relationer med det interna säkerhetsteamet
Detta är högsta prioritet. Som CISO deltar du i tekniska beslut, driver kulturförändringar, beslutar om löner, löser konflikter och hanterar teamets behov. Om teamet respekterar dig och värdesätter din åsikt kan du sätta ett högt betyg här. Ömsesidig tillit är avgörande.
Delegationsförmåga är en viktig del som bör utvärderas separat. Effektiv delegation förhindrar flaskhalsar och främjar teamets utveckling. Utan denna förmåga är ett högt betyg inte motiverat.
2. Relationer med interna kollegor i organisationen
Detta handlar om relationer med andra avdelningar och chefer, t.ex. följande team i vår organisation:
- InfoSec Board
- IT-avdelningen (Service Center)
- Compliance-teamet
- HR
- Juridik
- Ekonomi
- PR
De fem första är kritiska för samarbete. Relationer med Ekonomi och PR är fördelaktiga men inte avgörande.
3. Säkerhetsprogram och projekt
Detta område nämns inte i Lohrmanns artikel men är enligt mig avgörande. CISO:n ansvarar för att leda initiativ som molnmigrering, Zero Trust, säkerhetsmedvetenhet eller kvantsäkerhet.
Exempel på projekt:
- Zero Trust-initiativ
- Moln/hybrid-migrering
- Implementering av EDR och MDM
- Förbättrat sårbarhets- och patchprogram
- Säkerhetsmedvetenhet
- Applikationssäkerhet
Zero Trust blev avgörande efter pandemin, och under kriget i Ukraina 2022 visade sig detta tillvägagångssätt extremt effektivt.
4. Relationer med ledningen
Detta inkluderar:
- Närmaste chef
- Styrelse/grundare
- Budgetansvar
En CISO måste ha kontroll över sin säkerhetsbudget. Utan detta är ett högt betyg inte berättigat.
5. Relationer med leverantörer
Detta inkluderar:
- Leverantörer och tjänsteleverantörer
- Hantering av kund-/leverantörsenkäter
Så implementerar du metoden
När en ny CISO börjar ska utvärderingen börja med relationerna till det interna säkerhetsteamet. Använd stjärnsystemet (1–5). När minst 3 stjärnor uppnåtts kan nästa område utvärderas. Samma metod kan användas för att utvärdera nuvarande CISO:er.
Av Dmytro Treshchenko, Chief Information Security Officer på Sigma Software Group
Artikeln är ett kunskapsamarbete mellan Sigma Software Group och IT Media Group. Sponsrade inlägg och kunskapsamarbeten är en del av IT Media Groups annonserbjudande. Om du har frågor kring sponsrade inlägg, hör av dig till info@itmediagroup.se
