Ettersom cybersikkerhet har blitt et stadig viktigere hensyn i bedriftens beslutningstaking, har det vært et tilsvarende grep for å heve rollen til chief information security officer (CISO) til et høyere punkt i det utøvende hierarkiet. Begrunnelsen ser ut til å være: "Hvis cyber er viktig, må CISOer være viktige." Å heve rollen gjør imidlertid at CISO blir en ensom stemme i ørkenen som roper «sikkerhet», med liten tilknytning til de daglige beslutningstakerne innen IT, ingeniørfag eller produkter.
Dette har ført til noen uønskede konsekvenser, som Facebook-sjefen som mente det var OK at selskapets sikkerhetstiltak forårsaket timelange forsinkelser ved å svare på avbruddet 4. oktober 2021, eller Uber-sjefen som betalte hackere som brøt systemet hans, i stedet for å erkjenne bruddet, eller de mange CISO-ene som har investert i "ytterligere lag med sikkerhet" i stedet for å innrømme at de gjorde dårlige valg i utgangspunktet. I alle disse tilfellene spilte utvilsomt CISOs isolasjon fra funksjonelle forretningsenheter en rolle i tunneltenkningen disse beslutningene reflekterer.
Organisatorisk påvirkning
Kanskje det er på tide å tenke nytt om rollen til CISO. Kanskje det er bedre å se CISOs betydning gjenspeilet i organisatorisk påvirkning i stedet for organisatorisk status. Kanskje vil innbygging av sikkerhet i funksjonelle enheter gi bedre sikkerhet.
Se for deg CISO som en del av IT-organisasjonens økosystem. De ville være involvert i enhver beslutning om infrastrukturen, og sikkerhetshensyn ville være integrert i disse beslutningene i stedet for å bli tatt på i etterkant. Dette vil tillate et sett med "sikkerhets"-løsninger basert på hvordan nettverket er strukturert og administrert, snarere enn på spesielle sikkerhetsfunksjoner satt inn i infrastrukturen av en ekstern gruppe.
Se for deg en sikkerhetsekspert innebygd i programvareutviklingsorganisasjonen. De ville være i stand til å avgrense utviklingsprosessen for å sørge for at kode er skrevet og testet med et øye for sikkerhet, uten å bekle utviklerne med prosesser som er fremmede for dem, og dermed redusere sårbarhetene i selskapets kode. Se for deg en sikkerhetsekspert innebygd i produktlinjer. De vil være i stand til å sørge for at bedriftens infrastruktur beskytter deres IP og at deres utviklingsprosess reduserer sårbarhetene i produktet deres.
I alle disse tilfellene blir sikkerhet en faktor i bedriftsbeslutninger basert på virksomhetens virkelighet. Den tekniske ekspertisen til CISO blir integrert i det daglige arbeidet i stedet for en begrensning som pålegges den. Tilsvarende må sikkerhet og samsvar fungere sømløst slik at økonomiske systemer og kommunikasjon med partnere og leverandører forblir sikre. Dette omfatter telekomsystemer og annen maskinvare.
Risikofaktoren
Dette virker som en mer virkningsfull måte å gjøre den tekniske dimensjonen av sikkerhet til en kraftig stemme i selskapets utførelse. Man kan imidlertid spørre seg om dette vil redusere den politiske dimensjonen, og balansere den til å ivareta særinteressene til individuelle funksjonelle enheter. Denne bekymringen kan løses ved å utvide rollen til risikosjefen til å omfatte sikkerhetspolitiske funksjoner som for tiden utføres av CISO.
Dette har fordelen av å holde sikkerhetspolitikken på C-nivå, hvor den får den oppmerksomheten den trenger. Det har den ytterligere fordelen av å ha cybersikkerhetsrisiko vurdert i sammenheng med andre risikoer (risiko for tilgjengelighet, risiko for omdømme, for å adressere sakene ovenfor). Sikkerhet ville ikke lenger være et mål i seg selv, men en dimensjon ved å drive forretning. Dette betyr ikke at sikkerheten trenger å kjempe mot andre bekymringer og lage innkvartering som kompromitterer organisasjonens sikkerhetsstilling. Snarere setter det opp et miljø som bytter enten/eller-mentaliteten mot et som søker å tilfredsstille alle krav.
Det er mange tilgangskontrollteknologier som ville ha beskyttet Facebook effektivt uten å stenge ute sitt eget personell. Når sikkerhetsrisikoen vurderes sammen med tilgjengelighetsrisikoen, vil de mer pragmatiske løsningene dukke opp.
