"Sikkerhed følger altid pengene," siger Martin Kiær, som, ud over at være min sidemand i Bella Centers sal, hvor IT security 2010-konferencen fandt sted i mandags, også er chef og ansvarlig for Logicas sikkerhedsforretning i Danmark.
De fire ord danner en konklusion, som de mange ord fra talerstolen ikke formår.
Herfra er det mere diffuse oplysninger og tendenser, der fokuseres på - de giver dog langt hen ad vejen Logica-bossen ret.
"It-sikkerheden er i stigende grad blevet en økonomisk knap, som ledelsen skruer på," lød det fra talerstolen, da Per Andersen, direktør for analysehuset IDC, havde ordet.
"Den stigende outsourcing betyder også, at ledelseslaget trækkes mere ind i beslutningerne," sagde han, dog uden at underkende it-sikkerhedschefens rolle.
"It er på vej ud af firmaerne, og vil i stedet blive netbaserede tjenester, og det trækker beslutningerne i retning af økonomichefen," lød en af hovedkonklusionerne.
Den melding overraskede ikke salen synligt, og da slet ikke Logicas sikkerhedsmand.
"Økonomichefens tilgang vil altid være besparelser eller forøgelse af produktivitet, mens it-sikkerhedschefen vil have højst mulig sikkerhed. Derfor vil sikkerhed altid blive et kompromis" siger Martin Kiær.
Formålet med it er at opnå bedre effektivitet. I den forbindelse er det it-sikkerhedschefens rolle, at dette sker på en måde således, at sikkerheden bare er 'god nok', siger han.
"Økonomichefens indflydelse betyder også, at sikkerheden i højere grad bliver valgt ud fra følelser og personlig agenda frem for fornuft. De to ting er skidt for sikkerheden."
Teknikeren er død, leve kommunikatøren
It-sikkerhedschefens rolle defineres i høj grad af virksomhedskulturen, men han kan, med lidt sund fornuft, selv bringe sin viden bedre i spil.
"Når man kommer udefra, er det nemt at se, hvor meget indflydelse it-chefen har," siger Martin Kiær.
"Er vedkommende en del af ledelsen med eget budget, er det en virksomhed, hvor it-sikkerheden i høj grad overlades til it-chefen. Hvis det modsatte er tilfældet, er det typisk et område for økonomichefen og ledelsen," siger han.
Han peger desuden på it-chefens egne svagheder og styrker.
"En moderne it-sikkerhedschef skal være god til at kommunikere, og så har han forretningsforståelse. Er han primært tekniker, har han med garanti mindre indflydelse, fordi ledelsen ikke forstår ham," siger Martin Kiær, der konkluderer, at den traditionelle it-tekniker er en uddøende race.
Den stigende outsourcing betyder, at den benhårde tekniker bliver mindre og mindre interessant for virksomhederne, vurderer han.
En person der kun har en økonomisk forståelse, men mangler det tekniske indblik giver på den anden side et mindre nuanceret overblik over it-infrastrukturen end det, en it-mand kan bidrage med, men på grund af stigende økonomisk fokus fra ledelsen kommer it-sikkerhedschefen til at kæmpe for sin position.
Sådan bevarer it-sikkerhedschefen sin magt
For at holde sig inde i varmen bør en it-sikkerhedschef udvide sine kompetencer på områder, der som udgangspunkt ikke har det fjerneste med sikkerhed at gøre.
"I stedet for at tage endnu en ny sikkerhedscertificering bør it-chefen overveje at få en bedre forretningsforståelse i form efteruddannelse på det økonomiske område," siger Martin Kiær fra Logica.
På denne måde får it-chefen en berettigelse på ledelsesgangen, og kan via sin indflydelse holde sikkerhedsniveauet så højt som mulig.
"Den rigtig gode it-sikkerhedschef kan tage beslutninger, uden af økonomichefen behøver at bekymre sig om it, men så kommer man heller ikke uden om både kommunikative egenskaber og forretningsforståelse," siger han.
