Förståelse för rollen
Ibland ses CISO:n som en slags extrabefattning som IT-avdelningen ska ansvara för, eller ännu värre, som ett nödvändigt ont som stjäl resurser från utveckling och drift. En sådan inställning hämmar dina möjligheter att göra ett bra jobb. Genom att regelbundet rapportera kan du påvisa en samband mellan informationssäkerhetsproblem och kostnader kopplade till detta, något som lättare skapar en förståelse för ditt jobb. Tala inte i tekniska termer utan ge konkreta exempel med tydliga siffror. Det är viktigt att du också visar att du kan tillföra verksamhetsnytta och inte bara är där för att uppfylla en skyldighet. Stringent och lättillgänglig rapportering skapar förtroende och med förtroende kommer även mandat…
Mandat
Vilket mandat har du som CISO? En av de viktigaste frågorna att klara ut är vem som har mandat i frågor där flera olika verksamhetsdelar är involverade. En CISO bör till exempel ha mandat att bedriva tillsyn av att styrdokument efterlevs och i de fall de inte gör det kunna stoppa aktiviteter som bryter mot dem. Mandaten behöver inte vara direkt beslutande utan kan ibland vara av rådgivande karaktär men ska, liksom din arbetsbeskrivning, vara beslutad och finnas i skriftlig form. Mandat räcker dock sällan för att implementera dina förändringar, du behöver även resurser och stöd från ledningen.
Resurser
Samtidigt som hoten och komplexiteten i IT-miljön ökar väljer många företag att minska på utgifterna. Att anställa en CISO ses ibland som en tillräcklig investering men precis som i vilken annan funktion som helst måste även en CISO styra över en egen budget.
Det kan handla om finansiella medel för att utveckla och genomföra projekt eller tid för att hålla sig ajour med utvecklingen. Utan dessa resurser är det i stort sett omöjligt att genomföra ett kvalificerat säkerhetsarbete. Återigen är det viktigt att kunna rapportera det på ett begripligt sätt.
Rapportering
I många organisationer är CISO-rollen underställd organisationens CIO. I andra organisationer ses rollen som så pass viktig att även CISO rapporterar direkt till ledningen, även om rollen i sig är underställd CIO.
Oavsett vem du i första hand rapporterar till är det viktigt med tydlighet så att organisationen vet hur hierarkin och mandaten ser ut.
Ur ditt perspektiv är det självklart bättre att rapportera direkt till ledningen, då du kan säkerställa att budskapet inte ändras och blir en bifråga på ledningsmöten. Samtidigt är det viktigt att bygga ett förtroende i hela organisationen så att dina problemformuleringar och lösningsförslag lyfts fram och beaktas oavsett vem som lyfter dem.
Samarbete
Ditt ansvar är att se till att rätt säkerhet finns på plats utifrån den egna organisationens behov men det är en roll som ofta inte är självklar för andra.
Ditt jobb är inte bara att säga nej till IT-avdelningen eller verksamheten utan att hjälpa dem framåt, ingen gagnas av att hamna i en situation där du uppfattas som en bromskloss för den digitala utvecklingen. Att förstå verksamheten och tidigt fånga upp utvecklingen av nya produkter och tjänster gör att du redan från start kan få med säkerheten på agendan. Ett gott samarbete med till exempel organisationens utvecklare gör både ditt och deras jobb betydligt enklare. Förtroende är som alltid nyckeln till fungerande samarbeten.