ComputerViews: Det er noget af en mundfuld af være ansvarlig for en organisations it-sikkerhed i dag.
It-sikkerhed handler ikke længere om patch management og firewalls og indre forsvarsværker, mens
Opgaven kræver ret anseelige evner inden for i sig selv komplicerede områder som strategi, lovgivning, it-teknologi, risk management, frameworks, it-arkitektur (både når det gælder netværk og sikkerhed), kommunikation, forretnings-udvikling og compliance.
Og det hele udvikler sig meget kraftigt - ikke mindst bliver de cyberkriminelle hele tiden dygtigere og dygtigere til at penetrerere forsvarsværkerne og udvikle nye forretningsmodeller og teknologier.
Det ligger derfor i kortene, at ingen er helt sikker, og at alle organisationer før eller siden vil blive hacket.
Her ligger opgaven med at være klar med en velfungerende beredskabsplan også hos den sikkerheds-ansvarlige.
Oven over det hele sidder organisationens øverste ledelse og forventer, at der er styr på det hele: I dag er de fleste direktører klar over, at it-sikkerheden spiller en rolle.
Deres forventninger til it-chefen er derfor, at der er styr på den - ligesom der (selvfølgelig) skal være styr på den klassiske drift.
De fire hovedopgaver
Herhjemme ligger opgaven typisk hos it-chefen, men i større virksomheder - ikke mindst i USA - kan man ofte møde en såkaldt CISO, Chief Information Security Officer.
Det er en svingdørs-position, da flere (amerikanske) undersøgelser har vist, at en CISO i gennemsnit kun holder omkring 18 måneder i jobbet.
I en ny rapport peger analysehuset Deloitte på de fem hoved-udfordringer, som den it-sikkerhedsansvarlige i dag står over for i en mere og mere kompleks verden.
De er:
- Mangel på dygtige folk samt en ofte in-effektiv team-struktur.
- Mangelfuld kommunikation.
- Mangelfuld governance i forhold til strategi og processer.
- Manglende støtte eller tillid fra top-cheferne.
- Mangel på penge.
De fire søjler
Ifølge Deloitte kan CISO'en - eller den it-sikkerhedsansvarlige - skabe overblik over det komplekse job ved at inddele det i fire roller, nemlig:
- Strategen.
- Rådgiveren.
- Vagten.
- Teknologi-manden.
Ifølge Deloitte bruger en typisk it-sikkerhedsansvarlig i dag langt det meste af sin tid - omkring 77 procent - på de tekniske aspekter, nemlig i rollerne som 'vagt' og 'teknologi-mand.'
Meget kan imidlertid tyde på, at det er ved at vende.
Langt de fleste it-sikkerhedsansvarlige, som Computerworld taler med, peger på, at egne medarbejdere hører til blandt de allerstørste trusler mod organisationen, da det ofte er her, at hackere og andre har held med at smutte under radaren.
Samtidig er mange sikkerhedsansvarlige i dag fanget i en rolle, hvor deres dage bliver brugt på opgaver, der skal løses i huj og hast eller i at håndtere 'klassiske' opgaver.
Begge dele bygger på operationelle eller taktiske beslutninger, som jo er klassiske kompetencer for it-chefen, der skal passe driften.
Men it-sikkerhedschefen er i denne hastigt omskiftelige verden nødt til at tænke fremadrettet og strategisk og ud fra forretningens fremadrettede behov.
Det kan de allerdygtigste. Og de får hurtigt en fordel i forhold til konkurrenterne.
Kigger vi på Deloittes fire roller, er der derfor meget, der tyder, at de to roller, der ikke er teknologi-fokuserede - strategen og rådgiveren - kommer til at spille en vigtigere rolle i fremtiden.
Analysehuset beskriver 'strategen' som den person, der sørger for, at it-sikkerhedsindsatsen er i overenstemmelse med forretningens strategi, ligesom 'strategen' står for innovation og for de langsigtede forandrings- og investerings-planer på området.
'Rådgiveren' beskriver Deloitte som den person, der i tæt samarbejde med forretningen uddanner og rådgiver medarbejdere og andre samt hele tiden påvirker it-sikkerhedsmæssige beslutninger med kvalificeret viden om konsekvenser og implikationer.
´EU på vej
Om knap to år - 25. maj 2018 - træder EU's nye persondataforordning i kraft, og den stiller blot yderligere krav til de it-sikkerhedsansvarlige.
Med forordningen kommer der nye krav om:
- Større gennemsigtighed.
- (Langt) bedre dokumentation.
- Langt større mulighed brugerne for selv at komme i kontrol.
- Større krav til samtykke fra brugerne.
Forordningen blev vedtaget i EU 14. april i år, og de kommende to år - som er den såkaldte sunrise-periode - skal organisationer, myndigheder og virksomheder overalt i Europa anvende til at få kørt kanonerne i stilling.
Du kan læse mere om forordningen her: Bliv klar til EU's nye persondataforordning: Disse konkrete ting bør du sætte i gang allerede nu.
Arbejder du som it-mand mest i rollen som strateg, rådgiver, vagt eller teknologimand?
Og er det en fornuftig balance? Giv dit besyv med i debatfeltet herunder.