Begrebet ‘CISO’
”Kært barn har mange navne” når det kommer til titler og er med til at skabe forvirring omkring CISO-rollen. Nedenstående er blot eksempler på titler:
- Head of information security / IT security
- IT Security director
- Cyber security executive
- Information security director
- Chief Security Officer (CSO)
- Vice President of information security
Ikke så underligt at der på alle niveauer er forvirring omkring indhold, ansvar, beføjelser, reference, samt krav og kvalifikationer i en CISO-rolle. Hvor man tidligere så meget snævre og mere tekniske definitioner af en CISO’s ansvar, vil man i dag beskrive ansvaret som meget bredere. Vores version af en 2020-definition kunne være:
______________________________________________________________________________
En CISO er ansvarlig for at etablere, sikre og vedligeholde virksomhedens vision, strategi og de programmer og systemer, som sikrer at virksomhedens data og teknologier til enhver tid er tilstrækkeligt beskyttet. En CISO forventes selv, eller sammen med sit team, at identificere, udvikle, implementere og vedligeholde processer på tværs af virksomhedens værdikæde, som reducerer risici relateret til teknologi.
Ansvaret omfatter alt fra incident respons, etablering af standarder og kontroller, sikring af de rette ledelsessystemer, udarbejdelse og implementering af politikker og procedurer, samt sikre den nødvendige compliance.
______________________________________________________________________________
I virkelighedens verden ser vi afarter af rollen alt efter virksomhedens branche, størrelse, organisationsstrukturer og digitale modenhedsniveau. En CISO kan ét sted ene og alene udgøre virksomhedens IT-sikkerhedsfunktion og dermed arbejde ekstremt teknisk og operationelt. Et andet sted kan en CISO lede et større team af både specialister og generalister indenfor operationel IT-sikkerhed, GRC (Governance, Risk, Compliance), informationssikkerhed – og nogle steder sågar fysisk sikkerhed.
Deloitte beskrev og inddelte i 2016 CISO-rollen i fire forskellige egenskaber; vagten, teknologi-manden, strategen og rådgiveren – hvilket på en god måde belyser dén kompleksitet, der knytter sig til rollen både dengang og nu. Ifølge Deloitte ville en CISO i 2016 i de fleste tilfælde (ca. 77 %) trække på de tekniske aspekter i rollen, som vagten eller teknologi-manden. Allerede dengang blev det anfægtet, at de to øvrige roller – strategen og rådgiveren i fremtiden vil spille en vigtigere rolle.
Strategen er den person, der sørger for, at IT-sikkerhedsindsatsen er i overensstemmelse med forretningens strategi, samt sikrer innovation og langsigtede forandrings- og investeringsplaner på området.
Rådgiveren som den person, der i tæt samarbejde med forretningen uddanner og rådgiver medarbejdere, og hele tiden påvirker IT-sikkerhedsmæssige beslutninger med kvalificeret viden om konsekvenser og implikationer.
Vi har netop afsluttet en analyse, hvor vi har belyst de organisatoriske konsekvenser af udviklingen i trusselsbilledet. Analysen er baseret på interview med 27 danske CISO’er. Analyser viser med tydelighed at Deloittes antagelse er korrekt og at det i dag er strategen og rådgiveren, der er behov for. Digitalisering er i de fleste virksomheder omdrejningspunktet for strategi og forretningsudvikling. Det forventes derfor, at en CISO formår at understøtte digitaliseringen med løsninger som ikke begrænser, men understøtter digitalisering dermed at CISO’en favner både de tekniske og kommunikative aspekter, for at kunne rådgive forretningen.
På baggrund af den udvikling vi ser i markedet i 2020, mener vi, at man bør tilføre en femte rolle, som er lederen.
Lederen formår både at lede, inspirere og udvikle et team af specialister samt at kommunikere og formidle betydningen af Informationssikkerhed til ledelse og bestyrelse og dermed sikre den rette bevågenhed på bestyrelsens agenda. Lederen har et fornuftigt teknisk fundament kombineret med god forretningsforståelse, som gør at han/hun kan tænke Informationssikkerhed holistisk bl.a. i forhold til KPI og rapportering.
Hvilken type CISO er der behov for?
Hvilken type CISO der konkret er behov for i jeres virksomhed afhænger naturligvis af en række parametre. Det relaterer sig til branche, størrelse, kompleksitet, hvorvidt virksomheden indgår i de seks sektorer, der er udnævnt som kritisk infrastruktur og dermed omfattet af lovgivning og reguleringer, modenheden både i forhold til niveau af It-sikkerhed og det generelle IT-landskab, det konkrete trusselsbillede, digitaliseringens betydning for virksomheden og meget mere.
Som med al rekruttering afhænger succesen af, hvor god man er til at definere (og afgrænse) rollen og af forståelsen for dén rejse kandidaten skal tage virksomheden med på. Det er relevant at spørge, hvor god man er til at beskrive ”AS IS” og “TO BE”. Det er en udfordrende – og næsten umulig opgave, når trusselsbilledet ændrer sig konstant og samtidig defineres af faktorer, man ikke har indflydelse på. De færreste virksomheder har et reelt billede af “AS IS”.
Det er for de fleste umanerligt svært at beskrive det nuværende IT-sikkerheds set-up, specielt i en situation, hvor man ikke tidligere har haft en CISO, eller haft en, der ikke magtede at have overblikket, hvilket alt for ofte er tilfældet i mindre og mellemstore virksomheder. Ergo har man ikke et fuldt og realistisk billede af situationen.
Anbefalinger
Interim CISO: Underordnet virksomhedens størrelse har vi gode erfaringer med, at man i ansættelsesperioden (3-6 måneder) ansætter en interim CISO, som er med til at definere rollen og sikre de rette kvalifikationer hos den kommende CISO. Der er mange ekstremt kvalificerede CISO’er på alle niveauer, som i en periode vælger at arbejde interim. Det er kompetencer, som normalt ville være overkvalificerede til rollen, men som har det nødvendige overblik og interessen for at modne virksomheden på området.
Eksperthjælp til den faglige vurdering: Vær 100 % sikker på at kandidaten har det rette faglige niveau både i forhold til teknik, organisatorisk gennemslagskraft og evt. ledelse. IT-sikkerhed er et bredt område med mange faglige discipliner, som det kan være svært at forholde sig til. Søg evt. ekstern hjælp til den faglige vurdering. Har I et teknisk konsulenthus tilknyttet, vil de sandsynligvis gerne bistå i evalueringen af de tekniske kompetencer. Der er desuden få specialiserede headhuntere, som vil kunne lave en second-opinion af kandidaterne både i forhold til teknisk niveau, lederevner og gennemslagskraft.
Bestyrelsen bør være involveret i ansættelsen: CISO-rollen er desværre blevet en udpræget svingdørsposition. En årsag til dette er bl.a. den manglende opbakning fra topledelse og bestyrelse. IT-sikkerhed har de sidste år været beskrevet som et af de helt centrale temaer på agendaen for topledelser og bestyrelser- det bør derfor også afspejle sig i ansættelsesprocessen. Involveringen i processen skal medvirke til at bestyrelsen føler sig tryg ved ansættelsen, at den nye CISO og bestyrelsen taler samme sprog, samt give kandidaten et indtryk af, om der er den nødvendige bevågenhed.
Sæt baren højt, søg eventuelt i udlandet: Gå ikke på kompromis. Er der ikke tilstrækkelig med kvalificerede kandidater nationalt, så søg internationalt. Danmark er på mange måder et attraktivt land med gode muligheder for at tiltrække erfarne kandidater fra udlandet. Kandidater som har erfaring fra store og komplekse virksomheder og som er ”vokset op” med en mere skeptisk og forsvarsbaseret kultur – end den vi historisk har dyrket i Danmark.
Hvilken rolle er der behov for: Vigtigst af alt er det at vurdere, hvor man som virksomhed er på sin modenhedsrejse i forhold til IT-sikkerhed. Det har en afgørende betydning for, hvilken kombination af de fire roller, der er behov for. Som en del af vores analyse blev det klart, at hovedparten af danske virksomheder kan inddeles i fire kategorier, som har hver deres fokus
- Virksomheder uden nuværende IT-sikkerhedsfunktion. IT-sikkerhed varetages af CIO/IT-chef som køber eksterne konsulenter
- Virksomheder underlagt kritisk infrastruktur
- Større globale produktionsvirksomheder
- Virksomheder med digital agenda
Ad1. Virksomheder uden nuværende IT-sikkerhedsfunktion. Anbefalingen vil være en interim CISO. Den væsentligste opgave vil være at gennemgå den teknologiske platform og implementere de nødvendige systemer samt sikrer processer og efterfølgende kontroller, samt arbejde med den forandringsproces i organisationen og adfærden som kræves for at løfte niveauet.
Ad2. Virksomheder underlagt kritisk infrastruktur. Denne gruppe er karakteriseret ved at være underlagt lovgivning og reguleringer og derfor ved at være godt i gang med rejsen samt af at have et klart billede af hvor de skal hen. Der er fokus på området, det er under opbygning, der stilles krav fra ledelse og bestyrelse, det kan have politisk bevågenhed hvorfor strategien og lederen er i fokus. Teknologi kompetencerne er /skal være tilstede, men væsentligheden betyder at der skal være stærke teknologiske kompetencer i teamet.
Ad3. Større globale produktionsvirksomheder. Denne gruppe er ofte udfordret af dyre og gamle produktionssystemer og af at arbejde internationalt og være underlagt compliance krav fra store globale kunder. Sikkerhed er på agendaen hos ledelsen og man har et klart billede af konsekvenserne af potentielle nedbrud. IT-sikkerhedsfunktionen er oftest på en størrelse på 5-6 headcounts. De tekniske aspekter af IT-sikkerhed er ofte enten outsourcet eller placeret i operations. Udfordringen for CISO’en er i høj grad at få engageret og involveret forretningen så IT-sikkerhed tænkes ind i R &D, produktion, afsætning m.m hvorfor rådgiverrollen samt vagtrollen bliver de centrale – skarpt fulgt af lederrollen.
Ad4. Virksomheder med digital agenda. Denne gruppe vil have ansat eller udskiftet CISO for nyligt da de har erfaret t de har behov for en CISO, der kan rådgive og sparre med ledelsen omkring sikkerhed i relation til deres forretningsudvikling. Det går stærkt, og der er behov for en person, der er visionær.
Hvordan ser markedet ud for CISO’er i Danmark?
For virksomheder der ikke tidligere har haft en CISO
I dette segment er der mange kvalificerede bud på kandidater- specielt kandidater, der en årrække har arbejdet i management konsulenthusene. Der er ofte et udbredt ønske blandt disse kandidater om at prøve kræfter med en CISO-rolle efter et par år som konsulenter.
Små og mellemstore virksomheder
Den helt store udfordring i dette segment er den store udskiftning, der har været blandt CISO’er med et par års erfaring. Vi har efterhånden en god base af erfarne CISO i dette segment, som har løftet sig fra at være tekniske, til at kunne fungere som rådgivere og strateger og som har den nødvendige forretningsforståelse. CISO-rollen er desværre blevet en svingdørs-position. Det er vores vurdering at CISO’er i gennemsnit kun holder 18 måneder i jobbet og at situationen i DK lige nu matcher dette tal, kombineret med at de fleste CISOér har skiftet job inden for de sidste 12 måneder.
Større virksomheder
I dette segment er udbuddet af kandidater begrænset. Vi har en strukturel udfordring i Danmark med et erhvervsliv, der primært er baseret på SMV segmentet. Det betyder at vi kun har en lille håndfuld CISO’er der har opbygget erfaringer fra større komplekse virksomheder og med en høj modenhed indenfor Informationssikkerhed og Cyber Security. Det er primært den finansielle sektor, hvor vi finder de helt tunge kandidater med de tunge erfaringer.
FAKTA
21% af danske virksomheder har ansat en CISO det seneste år.
En CISO bliver i gennemsnit i stillingen i 18 måneder.
I En LinkedIn søgning efter CISO’er i Danmark findes ca. 274 profiler, hvoraf 23 er kvinder.
Vi har 168 CISO-kandidater i vores database – heraf har 38 kandidater erfaring fra interim CISO-roller.
Lønniveauet: Dette er indenfor de sidste 2 år steget med 18 % til et niveau fra 85.000 – 150.000 kr. /mdr. + pension.
