En CISO holder i gennemsnittet i jobbet i 18 måneder – viser den overvågning vi har lavet af markedet. CISO-rollen er dermed blevet en af tidens største svingdørsfunktioner.
Hvorfor det?
Er CISO’er opportunistiske karriereklatrer, som jagter den næste lønstigning i et marked, hvor lønningerne stiger med raketfart (22 % over de sidste 2 år) – og dermed kynisk udnytter den store mangel på kompetencer og erfaringer?
Svaret er nej. De fleste CISO’er er alt andet end det. De er ansvarlige mennesker med en høj grad af moral, som er drevet af at gøre en forskel – nemlig at gøre samfundet til et mere sikkert sted for både virksomheder og borgere. Et ansvar de påtager sig på trods af de udfordringer, som rollen indebærer og på trods af, at det er en funktion, hvor man aldrig helt har fri.
Hvad gør CISO-rollen så utaknemmelig, at mange stopper efter kort tid? I vores dialog med CISO’erne hører vi følgende forklaringer:
Manglende ressourcer: Det er en kendt og omtalt problemstilling, at der er mangel på ressourcer og kompetencer indenfor IT-sikkerhed. Det er en kamp for CISO´erne at tiltrække de nødvendige specialister. Antallet af headcounts, som tildeles området er desuden ofte forsvindende lille. Samtidig har mange SMV’ere i Danmark en størrelse, hvor det ikke kan forsvarers at have en afdeling på 3-4 mand, hvilket ofte er dét niveau, der skal til for at dække de forskellige specialer indenfor området. CISO’en kommer dermed til at bruge uforholdsvis meget tid på at sikre ressourcer, rekruttere, oplære og mister igen sine medarbejdere.
Alene i rollen: I de fleste SMV’ere i Danmark vil en CISO være alene om ansvaret og funktionen – dvs. alene om at løfte alle opgaver fra operationel sikkerhed, til leverandørstyring, compliance og governance. Når CISO’ens rolle bliver så bred, siger det sig selv, at det er svært at levere og sikre kvalitet – og dermed få succes.
Mange førstegangs-CISO’ere er ikke forberedt på omfanget af rollen: De har i sagens natur begrænset erfaring. De er oftest stærke på et udsnit af de faglige discipliner, men løber panden mod muren i forhold til at få deres agenda igennem hos ledelsen. Det kommer som en overraskelse, at de ikke kun skal kæmpe mod en ukendt ekstern modstand og gamle teknologier, men også har en intern kamp med ledelse og bestyrelse.
Ledelsen ønsker quick-fixes, som ikke koster penge: En udfordring der fylder hos mange CISOér er at ledelsen ikke har noget begreb om opgavens omfang kombineret med, at de foretrækker den hurtige og billige løsning, fremfor at investere i dét, der kan sikre et basalt og mere langsigtet sikkerhedsniveau i organisationen. Specielt de producerende virksomheder slæber ofte på en tung teknologigæld fra gamle legacy systemer, og når man samtidig skal følge med udviklingen – bliver opgaven enorm.
Kapløb med tiden – man har aldrig fri: Når man arbejder med IT-sikkerhed, er man oppe imod en ekstern modstander, som man ikke kender, som aldrig sover, og som kan ramme én uden, at man er et bevidst mål. Som CISO er man oppe imod et trusselsbillede, der ændrer sig konstant, hvilket kræver, at man selv sammen med sit team konstant er på arbejde.
Fokus på rapportering på forretningspræmisser: Rollen har udviklet sig fra at være en teknisk opgave, der krævede tekniske kompetencer, til at være en ledelsesopgave, der kræver fokus både opad, nedad og i bredden. For at lykkes skal man, som CISO, kunne rapportere med afsæt i økonomiske og forretningsorienterede KPI’er, samt være god til og bruge energi på stakeholdermanagement. Det er ikke længere nok at foreslå de bedst mulige tekniske løsninger – en CISO skal være klædt på til at kunne overbevise baseret på økonomiske argumenter og KPI’ere.
Begrænsende faktor for udvikling: IT-sikkerhed er et område med meget stor bevågenhed og attention, men samtidig må man som CISO ikke begrænse udviklingen, som for det meste indebærer digitalisering. Og JA – når man siger digitalisering, så er sikkerhed med i ligningen, dog betragtet som en begrænsning fremfor en basal nødvendighed. Sikkerhed involveres sjældent fra udviklingsprojekters start og skal ofte kæmpes for at blive involveret. Opstår der senere problemer med sikkerhed, er CISO’en dén, der får skylden. Ergo er hverdagen for en CISO fyldt med kampe med ingeniører, kreative, forretningsudviklere og IT-udviklingen, der altid rør på sig.
Område med hemmelighedskræmmeri: Virksomheder ønsker ikke at blive udstillet for deres svagheder og sårbarheder, hvilket betyder, at det er svært for CISO’erne at dele erfaringer og søge sparring ud fra de konkrete problemstillinger. Erfaringsudvekslingen forbliver dermed i generelle termer.
Håndgribelige og kontante konsekvenser: Man skal som CISO leve med den konstante frygt for, om man bliver den næste virksomhed, der rammes af et nedbrud. Alle virksomheder udsættes for forsøg på angreb – og bliver man mon den næste, der hænges ud i medierne, med de store økonomiske konsekvenser, der følger med et nedbrud? Ligegyldigt hvad, vil man altid se på CISO’en som dén, der ikke formåede at gøre sit arbejde godt nok.
Listen er uden tvivl længere, men ovenstående udtalelser fra de CISO’er, vi i interviewer, giver allerede et godt indblik i, hvorfor det på mange måder er en utaknemmelig rolle. Foruden en uhåndgribelig ekstern trussel, kæmper man med interne agendaer, adgang til ressourcer, beføjelser, teknologigæld og en ledelse, der ”ikke vil se realiteterne i øjnene” og sikkert med meget mere.
IT-sikkerhed er helt klart kommet på agendaen blandt ledelser og bestyrelser og i mediernes søgelys, men det virker ikke til, at det har gjort det lettere at være CISO, tværtimod. Det har blot tilføjet en ny dimension til rollen, som de fleste, hverken fagligt og personligt, er klædt på til – eller har tiden til at håndtere.
Konsekvensen er, som vi ser det, at mange vælger en freelance karriere bl.a. fordi de hverken kan, eller vil stå inde for og leve op til ansvaret i CISO-rollen. Det betyder, at vi ikke får det nødvendige læringsmiljø her i landet, hvor CISO’erne udvikler sig med ledelsesopgaven – hvilket igen betyder at vi, når vi besætter CISO- roller, er nødsaget til at kigge udlands for at finde kandidater med den nødvendige erfaring.
