Da cybersikkerhed er blevet en stadig vigtigere overvejelse i virksomhedens beslutningstagning, er der sket et tilsvarende skridt for at løfte rollen som chief information security officer (CISO) til et højere punkt i det udøvende hierarkiet. Begrundelsen ser ud til at være: "Hvis cyber er vigtigt, skal CISO'er være vigtige." Men en ophøjelse af rollen sætter CISO op til at være en ensom stemme i ørkenen, der råber "sikkerhed", med ringe forbindelse til de daglige beslutningstagere inden for IT, teknik eller produkter.
Dette har ført til nogle uønskede konsekvenser, som Facebook-direktøren, der mente, at det var OK, at virksomhedens sikkerhedsforanstaltninger forårsaget timelange forsinkelser i at reagere på dets 4. oktober 2021, udfald, eller Uber-direktøren, der betalte hackere som brød hans system, i stedet for at anerkende bruddet, eller de talrige CISO'er, der har investeret i "yderligere lag af sikkerhed" i stedet for at indrømme, at de lavede dårlige valg i starten. I alle disse tilfælde spillede CISO's isolation fra funktionelle forretningsenheder utvivlsomt en rolle i den tunneltankegang, som disse beslutninger afspejler.
Organisatorisk påvirkning
Måske er det tid til at genskabe CISO's rolle. Måske er det bedre at se CISO's betydning afspejlet i organisatorisk påvirkning frem for organisatorisk status. Måske vil indlejring af sikkerhed i funktionelle enheder resultere i bedre sikkerhed.
Forestil dig CISO som en del af IT-organisationens økosystem. De ville være involveret i enhver beslutning om infrastrukturen, og sikkerhedshensyn ville være en integreret del af disse beslutninger i stedet for at blive grebet videre efter kendsgerningen. Dette ville give mulighed for et sæt "sikkerheds"-løsninger baseret på, hvordan netværket er struktureret og administreret, snarere end på særlige sikkerhedsfunktioner indsat i infrastrukturen af en ekstern gruppe.
Forestil dig en sikkerhedsekspert, der er indlejret i softwareudviklingsorganisationen. De ville være i stand til at forfine udviklingsprocessen for at sikre, at kode er skrevet og testet med øje for sikkerhed, uden at belemre udviklerne med processer, der er fremmede for dem, og derved reducere sårbarhederne i virksomhedens kode. Forestil dig en sikkerhedsekspert, der er indlejret i produktlinjer. De ville være i stand til at sikre, at virksomhedens infrastruktur beskytter deres IP, og at deres udviklingsproces reducerer sårbarhederne i deres produkt.
I alle disse tilfælde bliver sikkerhed en faktor i virksomhedens beslutninger baseret på virksomhedens virkelighed. CISO's tekniske ekspertise bliver en integreret del af det daglige arbejde snarere end en begrænsning, der pålægges det. På samme måde skal sikkerhed og compliance fungere problemfrit, så finansielle systemer og kommunikation med partnere og leverandører forbliver sikre. Dette strækker sig til telekommunikationssystemer og anden hardware.
Risikofaktoren
Dette virker som en mere virkningsfuld måde at gøre den tekniske dimension af sikkerhed til en stærk stemme i virksomhedens eksekvering. Man kan dog undre sig over, om dette vil formindske den politiske dimension og balkanisere den til at imødekomme de enkelte funktionelle enheders særlige interesser. Denne bekymring kan imødekommes ved at udvide rollen som chief risk officer til at omfatte de sikkerhedspolitiske funktioner, der i øjeblikket udføres af CISO.
Dette har fordelen ved at holde sikkerhedspolitikken på C-niveau, hvor den får den opmærksomhed, den har brug for. Det har den yderligere fordel, at cybersikkerhedsrisikoen overvejes i sammenhæng med andre risici (risiko for tilgængelighed, risiko for omdømme, for at løse ovenstående tilfælde). Sikkerhed ville ikke længere være et mål i sig selv, men en dimension af at drive forretning. Dette betyder ikke, at sikkerheden skal kæmpe med andre bekymringer og skabe akkommodationer, der kompromitterer organisationens sikkerhedsposition. Det opretter snarere et miljø, der bytter enten/eller-mentaliteten ud med et, der søger at opfylde alle krav.
Der er adskillige adgangskontrolteknologier, der ville have beskyttet Facebook effektivt uden at låse sit eget personale ude. Når sikkerhedsrisikoen betragtes sammen med tilgængelighedsrisikoen, ville disse mere pragmatiske løsninger dukke op.
