Evnen til at påvirke
Afhængig af definitionen af ’ledelse’ kan man godt argumentere for, at CISO-rollen har udviklet sig til en lederrolle, frem for en specialist/stabs funktion. Arbejder vi med forståelsen af ’ledelse’, som dét at have evnen til at påvirke, enten ved at inspirere et team af specialister, eller ved at kommunikere betydningen af informationssikkerhed til ledelse og bestyrelse, så ser det ud til at ledelseskompetencer er yderst vigtige for en CISO’s succes. Stakeholder management, rapportering til bestyrelse og direktion, kampen for ressourcer, overbevisning af beslutningstagere, forandringsledelse m.m., er blandt nogle af de temaer vi hører, bliver en større del af CISO’ens hverdag og omdrejningspunktet for deres arbejde. Det gælder også de CISO’er, der ikke organisatorisk er placeret i en ledelse, eller har et team under sig. Deres udfordringer er den samme, og kræver samme påvirknings- og formidlingskraft opad og ud i organisationen.
Ledelseskompetencer er blevet vigtigere
Deloitte beskrev og inddelte i 2016 CISO-rollen i fire forskellige egenskaber; vagten, teknologi-manden, strategen og rådgiveren. Ifølge Deloitte ville en CISO i 2016 i de fleste tilfælde (ca. 77 %) trække på de tekniske aspekter i rollen, som vagten eller teknologi-manden. Allerede dengang blev det anfægtet, at de to øvrige roller – strategen og rådgiveren i fremtiden vil spille en vigtigere rolle. Deloitte beskriver strategen som den person, der sørger for, at IT-sikkerhedsindsatsen er i overensstemmelse med forretningens strategi, samt sikrer innovation og langsigtede forandrings- og investeringsplaner på området. Rådgiveren som den person, der i tæt samarbejde med forretningen uddanner og rådgiver medarbejdere, og hele tiden påvirker IT-sikkerhedsmæssige beslutninger med kvalificeret viden om konsekvenser og implikationer.
Ovennævnte egenskaber indgår i de fleste lederroller og underbygger tesen om, at CISO-rollen har udviklet sig til en lederrolle. Fra vores daglige dialog med CISO’er er det vores indtryk at dét, der overrasker og udfordrer dem mest, er dén mængde energi og tid, de er nødsaget til at bruge på; at påvirke og bearbejde organisationen, få de nødvendige ressourcer, skabe den nødvendige arbejdsro, sikre den rette rapportering, få ledelsen til at erkende det faktiske modenheds- og risikobillede, og i det hele taget sørge for at blive involveret dér, hvor deres viden er nødvendig fx i forretningsudviklingen og digitaliseringsstrategien.
Vi i har en tidligere artikel defineret CISO’ens ansvar, som følgende:
________________________________________________________________________
En CISO er ansvarlig for at etablere, sikre og vedligeholde virksomhedens vision, strategi og de programmer og systemer, som sikrer at virksomhedens data og teknologier til enhver tid er tilstrækkeligt beskyttet. CISO forventes selv, eller sammen med sit team, at identificere, udvikle, implementere og vedligeholde processer på tværs af virksomhedens værdikæde, som reducerer risici relateret til teknologi.
Ansvaret omfatter alt fra incident respons, etablering af standarder og kontroller, sikring af de rette ledelsessystemer, udarbejdelse og implementering af politikker og procedurer, samt sikre den nødvendige compliance.
________________________________________________________________________
Men hvor meget tid og energi bruger CISO’en i virkeligheden på dette centrale og vigtige ansvarsområde, som de er ansat til at varetage – og hvor meget er i virkeligheden fokuseret på organisatoriske elementer, som gør, at disse opgaver i det hele taget kan tilgås?
Vi er gået i dialog med CISO’er i Danmark for at blive klogere på, hvor meget tid man, som CISO, bruger på at arbejde med de organisatoriske elementer af ledelse, formelt såvel som uformelt. Herunder hvilke typer af ledelsesopgaver, der opgaver mest tid.
