Allt fler it-säkerhetschefer tar plats i ledningen

Splunks undersökning, The CISO Report 2025, visar också att styrelsemedlemmar med en bakgrund från it-säkerhetsarbete känner sig mer trygga när det gäller företagets övergripande säkerhetsstrategi.

Undersökningen lyfter några av fördelarna med att bjuda in it-säkerhetschefen till styrelsearbetet. Det blir till exempel avsevärt enklare att fastställa och anpassa sig till strategiska cybersäkerhetsmål och att fram en relevant budget för att uppnå säkerhetsmålen.

Att få utökat inflytande över företagets ledning och strategiska beslut innebär så klart att kraven ökar på it-säkerhetscheferna. Enligt undersökningen har många styrelser höga förväntningar på att it-säkerhetschefen ska vidareutbilda sig och bli en vassare företagsledare. Som en trolig följd av detta uppger drygt hälften av it-säkerhetscheferna i undersökningen att det ställs större ansvarsmässiga krav på dem sedan de började på sin tjänst.

Vi ser en kraftig ökning, när det gäller andelen it-säkerhetschefer som rapporterar direkt till vd. Hur kommer det sig och vilka effekter kan vi förvänta oss av det?

– Detta pekar på en förändring i säkerhetskulturen och ansvarsstrukturen. Tidigare sågs ciso-rollen som en del av it-säkerhetsfunktionen, men idag har de blivit ledare som måste kunna anpassa sig till företagets affärsprioriteringar för att lyckas. Ciso-rollen har förändrats från att enbart fokusera på att stärka säkerheten till att bidra till en säker tillväxt av verksamheten. De driver initiativ som förbättrar företagets säkerhetsberedskap och digitala motståndskraft, samtidigt som de möjliggör affärsutveckling. Det är en stor och nödvändig förändring från den tid då säkerhetsavdelningen sågs som en nej-sägare och bromskloss för verksamheten, säger Anders Stinger, som är Nordenchef på Splunk, till Techtidningen.

– Eftersom cybersäkerhet har blivit en central faktor för affärsverksamheten, får ciso och styrelser fler möjligheter att samverka och förstå varandra bättre för att stärka den digitala motståndskraften. För ciso:n innebär det att förstå verksamheten bortom it-miljön och hitta nya sätt att kommunicera säkerhetsinitiativens ROI till styrelsen. För styrelseledamöter innebär det att ta till sig en säkerhetsorienterad kultur och vända sig till ciso som en av nyckelpersonerna för beslut som påverkar företagsrisker och styrning.

Hur påverkar det vardagen för it-säkerhetschefen när mer tid måste läggas på arbete högst upp i organisationen? Vilka nya krav ställs på personer i denna roll?

– Undersökningen visar att styrelser förväntar sig att ciso utvecklar nya färdigheter och blir bättre affärsledare. Samtidigt gör detta ciso-rollen mer komplex. Dessutom pekar undersökningen på att det fortfarande finns betydande skillnader mellan ciso och styrelsen på flera områden, vilket kan skapa ytterligare stress. Till exempel är både styrelser och ciso:s överens om de grundläggande cybersäkerhets-kpi:erna, men 79 procent av ciso:s uppger att kpi:erna för deras säkerhetsteam har förändrats avsevärt under de senaste åren. Regelverken har blivit mer komplexa och de kan medföra stränga böter, vilket kräver snabbare incidentrapportering och ökat tryck.

– Det ökade ansvaret, särskilt kring efterlevnad, har höjt insatserna avsevärt, särskilt för ciso:s. I vår State of Security Report 2024 uppgav 76 procent av it-cheferna att personligt ansvar har gjort cybersäkerhet till ett mindre attraktivt karriärval, och 70 procent har övervägt att lämna branschen på grund av jobbstress. Detta är alarmerande och något som företagsledningen måste ta på stort allvar.

Om du får ge några kloka råd till en person som arbetar som it-säkerhetschef idag, vilka skulle det vara?

– En ciso måste vara både ledare och affärsutvecklare. Därför behöver de bli bättre på att tala “styrelska”, det vill säga kommunicera på styrelsens språk och se till att de inte exkluderar andra chefer med alltför teknisk jargong. En ciso kan få styrelsen att bli mer lyhörd i budgetdiskussioner genom att presentera konkreta beräkningar av direkta och indirekta kostnader för driftstopp, inklusive förlorade intäkter och sla-relaterade problem.

– Men detta handlar om mer än bara språk. En ciso måste även se till att förankra sig och sitt arbete i styrelsen och synliggöra sin förmåga att hantera affärsrelaterade uppgifter. Det räcker inte att bara vara en i mängden utan de måste bli en del av den grupp som tar de avgörande besluten.

Splunks senaste rapport innehåller en femstegsplan för hur en ciso bör agera i dagsläget.

• Utbilda styrelsen: Många styrelser vet inte vad en ciso gör eller varför de gör det. Undvik tekniskt språk och tala i termer som styrelsen förstår – risk och pengar.
• Investera i relationer: Att bygga förtroende med styrelseledamöter före, under och efter incidenter ger långsiktiga fördelar. Se till att du inte bara talar med styrelsen när du behöver en budget.
• Se compliance som en möjlighet: Många ciso:s är ansvariga för regelefterlevnad. Vissa ser det som en börda, men en framgångsrik ciso ser det som en chans att nå nya intressenter och tydliggöra värdet av sin funktion.
• Utveckla affärskunskaper: En ciso:s uppdrag är inte längre begränsat till säkerhet. Ciso:n måste förstå verksamhetens mål och hur säkerheten kan stödja dessa. Fokus ska ligga på att utveckla affären, inte bara skydda den.
• Synlighet och relationer är avgörande: Det kan kännas oviktigt att arbeta för sin egen synlighet internt, men det är en nyckelfaktor för att säkerställa att säkerhetsteamets arbete värderas högt.