Inga produkter i varukorgen.
”It-säkerhetschefen och styrelsen måste tala samma språk”
krönika It-säkerhetschefen måste vårda sin relation till företagets styrelse och kombinera skilda kompetenser. På så sätt kan vi skapa en konkurrensfördel som är tuff för andra företag att hantera enligt Michael Fanning, ciso på Splunk.
Som Chief Information Security Officer (CISO), eller it-säkerhetschef som det heter på svenska, känns det glädjande att vi CISO:er allt oftare deltar i företagens affärsbeslut. Jag har flera affärsbekanta som vittnar om detta, och nyligen släppte min arbetsgivare Splunk en global undersökning som bekräftar saken ytterligare. Undersökningen visar att en majoritet av oss CISO:er numera arbetar närmare våra styrelser än någonsin tidigare. Rapporten ger en djupgående analys av hur CISO:er världen över fått en allt mer framträdande roll i företaget. Detta har inte bara ökat deras inflytande över budgetar och policys, utan har också gett styrelsen mer insikt i hur företagens säkerhetssatsningar ser ut.
En god nyhet är att CISO:er som regel anser att de är i synk med styrelsen i flera av de mest avgörande frågorna. Vi är till exempel eniga om vikten av att skydda känslig information samt behovet av att stärka och utveckla våra ledaregenskaper. Det är en ny verklighet jämfört med tidigare år, och precis som med alla nya relationer så finns flera områden som kan förbättras och utvecklas ytterligare. Det gäller inte minst när CISO:er tar steget in i en roll som ligger närmare affärsverksamheten än tidigare. Till exempel uppger 61 procent av CISO:erna att deras relation till styrelsen är mycket god eller utmärkt när det kommer till att sätta upp strategiska mål för säkerhetsinitiativ. Samtidigt är det bara 43 procent av styrelseledamöterna som beskriver relationen som mycket god eller utmärkt.
Så behöver det dock inte vara. Med en genomtänkt strategi kan företag överbrygga klyftorna mellan CISO:er och deras styrelser.
Hantera olika uppfattningar om prioriteringar, kompetens och KPI:er
När CISO:er och styrelser har olika prioriteringar riskerar deras relation att försvagas och att glida allt längre ifrån varandra om inget förändras.
Många relationshinder mellan styrelser och CISO:er bottnar i skillnader i deras respektive bakgrunder. Teknikentusiaster som vi är säger 58 procent av CISO:erna att effekterna av säkerhetsincidenter är ett bra mått på vår framgång, men endast 43 procent av styrelseledamöterna håller med. Och även om CISO:er anser att hur väl de kan hantera effekterna av säkerhetsincidenter är det bästa måttet på deras framgång, bedömer styrelser dem utifrån avkastningen på företagets säkerhetsinvesteringar.
Så, hur kan CISO:er hantera dessa klyftor? Om vi vill vinna styrelsens förtroende måste vi överväga hur våra prioriteringar och vår tid är kopplade till intäkter och affärsmål. Det är upp till oss själva att utbilda våra styrelser i hur säkerhetsrelaterade mätvärden bidrar till att stärka verksamheten. Genom att göra detta kan vi tydliggöra hur våra säkerhetsmål passar in i det övergripande uppdraget och därigenom säkerställa att vi får de resurser och det stöd vi behöver.
Att tala styrelsens språk är nyckeln till att säkra budgeten
Förmågan att säkra tillräcklig budget är den enskilt viktigaste kompetensen som CISO:er behöver utveckla. Endast 29 procent av CISO:erna uppger att de får tillräckligt med finansiering för sina initiativ och mål. Här finns en möjlighet att påvisa att cybersäkerhetsinitiativ är en drivkraft för verksamhetsutvecklingen.
Styrelsen uppger i rapporten att de prioriterar affärstillväxt, även framför att förbättra cybersäkerheten. Det innebär att CISO:er måste se bortom riskerna och istället dyka djupare in i hur en lösning kan gynna verksamheten som helhet. Det handlar om att tydligt kommunicera de potentiella eller oundvikliga kostnaderna med att inte implementera en säkerhetslösning eller följa bästa praxis. CISO:er behöver bli skickligare på att argumentera för säkerhetsbudgetar och omforma sina insatser till konkreta exempel på avkastning på investeringar för att få styrelsens fulla uppmärksamhet.
Egentligen har vi CISO:er inget annat val. Nedskärningar, även små, kan få betydande konsekvenser. Till exempel avslöjade 18 procent av CISO:erna i undersökningen att de under de senaste tolv månaderna upplevt att de inte kunnat stödja ett affärsinitiativ på grund av budgetnedskärningar, och 64 procent angav att denna brist på stöd resulterade i en cyberattack.
Det finns däremot en tydlig väg mot framgång. När CISO:er tar sig tid att bygga starka relationer med sina styrelser kan det leda till mycket goda resultat. Till exempel upplever CISO:er som rapporterar att de har en god relation med sin styrelse, bland annat:
- Bättre synk mellan säkerhetsteamet och styrelsens prioriteringar (86 procent mot 59 procent)
- Större förmåga att säkra nödvändig budget (69 procent mot 57 procent)
- Överlägsen förståelse för cybersäkerhet (62 procent mot 46 procent)
I slutändan handlar det om att vi CISO:er måste ompröva vårt tillvägagångssätt så att vi tillsammans med styrelsen kan bygga starka relationer som drar nytta av våra respektive kompetenser. De som lyckas med detta skapar en konkurrensfördel som är tuff för andra företag att hantera.
Michael Fanning är ciso på Splunk
