Denne klumme er et debatindlæg og er alene udtryk for skribentens synspunkter.
Mens digitalisering og digital forretningsstrategi efterhånden er kommet på agendaen i de fleste direktionslokaler, så er mange informationssikkerhedsansvarlige stadig organisatorisk placeret nede i it-afdelingen, hvor de nørder med firewalls og kryptering af transportlag.
Det er efter min mening en helt uholdbar situation.
For informationssikkerhed er et af de vigtigste strategiske områder nu og i de kommende år, og en offensiv, forretningsorienteret tilgang til informationssikkerhed kan nemlig være det, der skiller vinderne fra taberne.
Vi har brug for et paradigmeskift.
Vi har brug for, at CISO’en – den informationssikkerhedsansvarlige – kigger op fra skærmen, pudser skoene og kommer oftere ind i direktionslokalet og ud i forretningen – og gør informationssikkerhed til et strategisk sigtepunkt begge steder.
Manglende sammenhæng
Accenture gennemførte for nylig en global undersøgelse, der afslørede en manglende sammenhæng mellem de bekymringer, direktionerne gør sig om informationssikkerhed, og de strategier, de sætter i værk.
Mange af de virksomheder, jeg kender til, gør det rigtig godt.
Men der er desværre stadig også mange, der ikke gør nok for at få informationssikkerhed helt ud i forretningen.
Et hovedproblem er, at de informationssikkerhedsansvarlige ikke har mandatet ude i forretningsenhederne.
Fra bits and bites til bundlinje
Det er ofte den dygtige tekniker, der bliver forfremmet og får ansvaret. Også inden for informationssikkerhed.
Men den tilgang bliver vi nødt til at ændre på.
Fremtidens CISO skal selvfølgelig være teknisk kompetent, men det er vigtigere, at vedkommende kan tale forretningens sprog – og ikke mindst anvise løsninger og strategier ud fra et forretningsperspektiv frem for et teknologisk perspektiv.
Et praktisk eksempel: Ud fra et rent sikkerhedsperspektiv kan det være den rigtige løsning at gennemføre hyppige tvungne skift af komplekse passwords for alle medarbejdere.
Men fra et forretningsperspektiv kan det blive for stort irritationsmoment i dagligdagen, for eksempelvis for sælgere eller konsulenter, der ofte skal bruge deres laptops til at præsentere løsninger hos kunder.
Det kunne også gælde kryptering, der beskytter data fra at blive læst af uvedkommende, men teknisk sløver et system.
Dette kan være et problem i nogle typer forretninger, hvor man ikke kan gå på kompromis med systemhastighed.
Kun 40 procent sparrer med forretningen
Vores undersøgelse viser, at kun 40 procent af de sikkerhedsansvarlige sparrer med ledere fra forretningen for at forstå forretningens behov, inden de foreslår et sikkerhedstiltag.
Det tal burde være 100 procent.
Ikke kun for at undgå at ”stå i vejen” for forretningen, men også i høj grad, fordi en CISO med den rigtige forretningsforståelse bør kunne anvende informationssikkerhed offensivt og gøre det til en differentiator på markedet.
Tag et område som Internet of Things, hvor der lige nu nærmest hersker lovløse tilstande.
Dem, der først knækker sikkerhedsproblemet, kommer til at vinde markedet.
Fremtidens CISO skal med at andre ord kunne formidle til ledelsen og forretningen, hvordan informationssikkerhed kan være en business enabler og ikke blot en udgift i budgettet.
Og så skal vedkommende også kunne begå sig langt bedre i det interne politiske spil, hvor placeringen typisk er langt nede i hierarkiet og med mange budgetejere, der skal tages i ed på vejen op.
Tag it-sikkerhed ud af it-afdelingen
Ud over at vinde den øverste ledelse på de bonede gulve, skal fremtidens CISO også formå at vinde resten af forretningen og få gjort informationssikkerhed til at fælles anliggende, som alle støtter op om.
Det er igen en opgave, der kræver forretningsforståelse frem for teknisk viden. Og der er brug for en stor forandring.
I vores undersøgelse peger 73 procent af de 1.400 adspurgte C-level ledere på, at it-sikkerhedskompetencer og -aktiviteter bør være spredt ud gennem organisationen.
Men alligevel er it-sikkerhed fuldstændig centraliseret i 74 procent af virksomhederne.
Der er lang vej igen
Vi har altså lang vej igen. Og ansvaret ligger ikke kun hos de it-sikkerhedsansvarlige.
Bestyrelser og direktioner bliver nødt til at være tydelige om, at de forventer, at it-sikkerhed er en del af forretningsdiskussionen, og ledere ude i forretningsenhederne skal invitere de it-sikkerhedsansvarlige med ind i ’maskinrummet.’
Og så er det bare om at pudse skoene og tage mod invitationen.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.