Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Prisen for en CISO.
Overskriften dækker over to ting: Prisen, en virksomhed skal betale for en CISO, og prisen, en CISO skal betale for at være det.
Lad os se på dem i den nævnte rækkefølge.
Den samlede sikkerhedstrussel er eksponentielt stigende i disse år. Derfor er behovet for sikkerhed det selvfølgelig også.
Man skulle derfor mene, at CISO'ers lønninger var hastigt stigende således, at de i det mindste i nogen grad stod mål med rollens kontinuerligt øgede vigtighed.
Dette er dog desværre ikke tilfældet.
Sådan er det gerne med nye ting eller tiltag: De skal igennem fire faser, som Gandhi engang beskrev som følger: ”First they ignore you, then they laugh at you, then they fight you, then you win."
CISO-rollen ingnoreret i mange år
Historisk set har CISO'en gennemgået en stor del af den samme udvikling.
I mange år blev rollen ignoreret af ledelsen i firmaer verden over.
Dernæst blev selve fagområdets vigtighed søgt negligeret af chefer, der med deres salgserfaring og merkantile uddannelse mente sig i stand til bedre at forstå den nye tids trusler mod de firmaer, hvis ve og vel de var ansvarlige for.
Nu er det langt om længe ved at gå op for ledelser, at sikkerhed ikke bare er vigtig men essentiel for deres firmaers overlevelse.
Denne udvikling er, siger de, kommet bag på dem, men dette skyldes ene og alene, at de igennem de sidste mange år med fuldt overlæg har negligeret det stadig stigende behov for sikkerhed, så det til sidst blev til et problem.
Dette gjorde, at problemet, da det endelig ramte frontallappen hos de herrer og damer, havde opnået en sådan størrelse, at det var næsten umuligt at håndtere – endsige løse.
Havde man udvist rettidig omhu - for nu at bruge et godt udtryk fra et firma, der tilsyneladende valgte ikke at efterleve det - havde man forhindret problemet i at vokse sig så stort.
Havde man, som Romerne, udkæmpet slaget for at undgå krigen, var alle firmaer bedre stillet nu.
Men dér er man ikke.
Er opgaven forstået?
I de forskellige firmaer søger man at løse problemet med ”det dér sikkerhed” ved at ansætte en sikkerhedsansvarlig og give vedkommende titel af ”CISO.”
Når jeg ser et sådant jobopslag, bliver jeg en lille smule opgivende.
Det er, som jeg tidligere har argumenteret for, ene og alene topledelsen, der er ansvarlig for sikkerheden. Derfor kan den kandidat, der sikrer sig jobbet, ikke være sikkerhedsansvarlig.
Ud over det bør man forstå, hvad titlen reelt betyder og bør indebære.
Skriver man i et jobopslag, at man søger en CISO, giver man reelt udtryk for, at man leder efter en oberst.
Giver man derefter vedkommende samme arbejdsopgaver som en konstabel og lader ham referere til en major, bør to ting stå helt klart: Ledelsen har ikke forstået opgaven, og staklen, den har ansat, har ikke en jordisk chance for at lykkes.
Hvis man så oven i købet aflønner vedkommende som en kaptajn, har man blot føjet spot til skade.
C'et i "CISO" står for "Chief," ikke for "Captain."
Og det er en ”Chief,” man har brug for!
Erfaring koster
Næsten en hvilken som helst CISO kan forbedre virksomhedens sikkerhedsniveau – hvis topledelsen vel at mærke lytter - men det er kun en dygtig een, der kan hjælpe med til at forbedre det hurtigere, end truslen vokser - og dermed mindske det reelle trusselsgap.
Men dygtighed kommer gerne af erfaring. Og erfaring koster.
Må jeg derfor høfligt henstille til de forskellige firmaers topledelser, at de gør sig klart, hvad de ønsker, inden de spilder deres penge og alle de involveredes tid.
Når de frem til, at det, de reelt har behov for, er en CISO, vil jeg anbefale, at de vælger den dygtigste og mest erfarne kandidat, de kan få, indsætter vedkommende i topledelsen og lønner derefter.
Det betaler sig på sigt, for:
Det eneste, der potentielt koster mere end erfaring, er mangel på samme.
En billig CISO kan hurtigt blive dyr!
Den svære udvælgelse
Men det kan også hurtigt blive dyrt for CISO'en at være CISO.
Problemerne starter som nævnt ovenfor ofte allerede, når et firma beslutter sig for at gøre noget ved ”det dér sikkerhed.”
De ansvarlige besidder måske ikke den nødvendige viden til at formulere firmaets reelle behov, og det gør det selvsagt svært at forklare sig til de, der skal finde passende kandidater.
Hvis rekrutteringbureauet heller ikke er tilstrækkeligt vidende om sikkerhedsområdet, resulterer det i, at de blinde leder de blinde – med perler som: ”Vi søger en CISO, der er hands-on” - og ufatteligt ufrugtbare ansættelsesforløb som følge.
Jeg har eksempelvis prøvet at være til jobsamtale, hvor testen gik ud på at se, hvordan jeg ville fungere som CEO for en virksomhed. Meget spændende altsammen. Bortset fra at jeg var til samtale om en stilling som CISO ...
Til den efterfølgende evaluering nævnte jeg, at Einstein engang havde sagt noget i stil med: "Hvis man bedømmer en fisk på dens evne til at klatre i træer, vil den stå sig dårligt derved."
Jeg konstaterede derefter tørt, at vi nu havde fået rangeret de helt rigtige kandidater - til den helt forkerte stilling - men, at firmaet meget gerne måtte kontakte mig, hvis det en dag skulle bruge en CISO.
Problemet med arbejdsopgaverne
Jeg véd ikke, hvem de valgte, men vedkommende har nok ikke fået de samme arbejdsopgaver, som testen lagde op til.
Og lige præcis dette er et andet, vigtigt punkt. For, hvis nu man, på trods af eventuelt håbløse tests og forkert organisatorisk placering af CISO'en, får hyret en god kandidat, står man over for et nyt problem: Arbejdsopgaverne.
Nu har man jo ansat en CISO - een, der kan sørge for, at firmaet overholder alle de forskellige compliancemæssige krav (?!?) Man vil jo nødigt have bøder.
Sikkerheden er vel mestendels klaret, når man er compliant, mener man, så det kan ikke være nogen stor ekstrabelastning at gøre vedkommende ansvarlig for det også.
Ud over dette er der jo selvfølgelig brug for lidt hjælp til de tekniske småting som patchning, backup, konfigurering af firewalls, segmentering af netværk, uddannelse af brugere, fysisk sikkerhed, business continuity, disaster recovery (har vi overhovedet brug for disse to, når vi nu allerede er sikret?) GDPR og alt det andet papirnusseri med kedelige navne som ISO, ISAE, PCI-DSS, NIS, NAS, nus og .... ja, det er jo mange småting, men det er heldigvis kun småting.
Og til disse har man, igen heldigvis, netop hyret en person.
Som i "een person.”
Umulig opgave og farligt for helbredet
Det er min påstand, at ingen enkeltperson kan håndtere samtlige opgaver inden for alle de nævnte områder i et firma af bare minimal størrelse.
Ydermere mener jeg ikke at have mødt nogen enkeltperson med tilstrækkelig viden om samtlige områder.
I praksis vil de daglige opgaver derfor være både alt for mange og for forskelligartede til, at een ressource kan nå at løse eller blot forstå dem.
Og der vil helt sikkert ikke være tid til strategisk tænkning.
Dette er en skidt situation, for CISO'en skal, som navnet lægger op til, netop fungere på strategisk niveau. Man må håbe, at han/hun har en teknisk baggrund, men konfigurering af firewalls og ”Sænke Slagskibe” med kablerne i krydsfeltet skal ikke længere være en del af arbejdsopgaverne.
Ergo er mange CISOer i den situation, at de:
• Har alt for mange opgaver
• Inden for alt for forskelligartede områder
• Hvoraf mange ligger på det forkerte niveau rent organisatorisk
Dette er ikke særligt befordrende for helbredet.
Ifølge en undersøgelse i ZDNet er den gennemsnitlige ”levetid” for en CISO da også kun 26 måneder.
Ønsker man som firma, at ens CISO holder længere end en door gunner i ´Nam, bør man holde sig disse ting for øje.
Det er heller ikke særligt befordrende for firmaets sikkerhedsniveau.
Har man ansat en dygtig og erfaren CISO, er man godt på vej, men det kræver mere end een person at sikre et firma.
Står man alene, er prisen for at være en CISO for høj.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.