KU’s CISO: »Informationssikkerhed handler om meget mere end it«

18. september 2020 kl. 03:458
KU’s CISO: »Informationssikkerhed handler om meget mere end it«
Illustration: Christoffer Regild / www.regild.dk.
Når organisationer placerer deres CISO under it-chefen, så kan det går ud over informationssikkerhedens kvalitet, advarer Poul Halkjær Nielsen, CISO på Københavns Universitet.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Virksomheder og organisationer begår en strategisk brøler, når de placerer Informationssikkerhedschefer (CISO’er) under it-chefen. Det giver en naturlig interessekonflikt, der kan resultere i, at sikkerheden nedprioriteres, mener Poul Halkjær Nielsen, der er informationssikkerhedschef/CISO på Københavns Universitet.

Log ind og læs videre
Du kan læse indholdet og deltage i debatten ved at logge ind eller oprette dig som ny bruger, helt gratis.
8 kommentarer.  Hop til debatten
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
7
22. september 2020 kl. 09:57

Forkortelser forklares første gang de optræder. Skal det ikke hedde Informationssikkerhedschef? Altså bare I eller evt ISC?

6
20. september 2020 kl. 23:47

Men er det ikke det samme som CFO, som er en enkeltsagsforkæmper for det finansielle? Eller CIO, eller ande chief officers?</p>
<p>Jeg synes, CISOer skal være på lig fod med de andre chief officer funktioner, da de alle har ansvar for helheden (kontra hvad du skriver, Michael Cederberg - du skriver jo selv, at security gennemsyrer alle handlinger).

Det nytter ikke med et management team på 30 personer og jo, du kan nemt finde 30 Chief XXX Officer roller i en virksomhed. Nogle af de andre funktioner som traditionelt er repræsenteret på topniveau er enkeltsagsforkæmpere men det er langt fra de fleste. Næsten alle har enten en signifikant pose penge eller en signifikant organisation der kan få ting til at ske. CISO'erne er kendetegnet ved at de kun kan få ting til at ske ved at få andre dele af organisationen til at følge deres befalinger. De kan kun selv gøre meget lidt. Det er altid skidt.

Udover det, så vil jeg mene, at når man har lavet en risikovurdering på sin virksomhed, hvor man inddrager relevante områder og information, så burde man ikke stille spørgsmålet "hvad er vigtigst, sikkerhed eller produktion", da svaret altid bør være: "det skal være sikkert, før det kan gå i produktion". Sikkerhed først! Det er ikke to modstridende ting, som skal afbalanceres, men det ene bør være en betingelse for den anden. Sikkerhed gennemsyrer alt!

Og hvad så med kvaliteten ... kvalitet bør også gennemsyre alt. Og virksomhedens image, sociale forpligtigelser, beskyttelse af minoriteter, etc. Alle vil sidde med ved bordet ...

5
18. september 2020 kl. 11:55

»Hvis en CISO rapporterer til it-chefen om, at kvaliteten af informationssikkerhed i organisationen ikke er i orden, så kan der opstå en naturlig interessekonflikt, siger han og tilføjer:

Det er vel intet der forhindrer at CISO rapportere højere op , hvis man ikke kan snakke på kryds i en virksomhed har man større problemer end placeringen af en rolle

4
18. september 2020 kl. 11:01

Problemet med funktioner som CISO er at de er enkeltsagsforkæmpere. De har ikke noget ansvar for helheden.

Men er det ikke det samme som CFO, som er en enkeltsagsforkæmper for det finansielle? Eller CIO, eller ande chief officers?

Jeg synes, CISOer skal være på lig fod med de andre chief officer funktioner, da de alle har ansvar for helheden (kontra hvad du skriver, Michael Cederberg - du skriver jo selv, at security gennemsyrer alle handlinger).

Udover det, så vil jeg mene, at når man har lavet en risikovurdering på sin virksomhed, hvor man inddrager relevante områder og information, så burde man ikke stille spørgsmålet "hvad er vigtigst, sikkerhed eller produktion", da svaret altid bør være: "det skal være sikkert, før det kan gå i produktion". Sikkerhed først! Det er ikke to modstridende ting, som skal afbalanceres, men det ene bør være en betingelse for den anden. Sikkerhed gennemsyrer alt!

3
18. september 2020 kl. 09:19

<em>»Informationssikkerhed handler om meget mere end it, som blot er en understøttende delfunktion, og er en del af topledelsens ansvar og ikke it-chefens ansvar alene, så hvis CISO’’en kun rapporterer til it-chefen, så er der ingen krog til at drive informationssikkerhed på - så er it-sikkerhed det eneste, som organisationen kan.«</em>

Problemet med funktioner som CISO er at de er enkeltsagsforkæmpere. De har ikke noget ansvar for helheden. Ofte ender man med spørgsmål i stil med ”Hvad er vigtigst? sikkerhed eller at produktionen kører?”. Svaret er selvfølgeligt at det er en balance der afhænger af den konkrete situation. Hvis man trykker glittede brochurer så har man behov for et andet niveau af sikkerhed end hvis man laver udstyr til F35.

Billede fjernet.

Og man kan med samme validitet sige at kvalitet ikke bare hører til et sted i organisationen, og det samme omkring virksomhedens image, HR, etc. Problemet er at security er noget alle skal tage ansvar for. Det gennemsyrer alle handlinger man laver at man skal lave en afvejning af security og alle de andre aspekter. Det der kommer fra en central security funktion mangler typisk forståelse for den specifikke situation.

2
Redaktionschef -
18. september 2020 kl. 07:09
Redaktionschef

Vi optager alle keynotes på Infosecurity så man både kan se dem live her på Version2 - og som optaget version senere.

Vh Henning Mølsted, redaktionschef

1
18. september 2020 kl. 05:09

I PwC's undersøgelse svarede 44 procent af CISO'erne ‘ja’, da de blev spurgt, om organisationens bestyrelse deltog aktivt i den overordnede sikkerhedsstrategi.

Tja, det lyder jo ikke af så mange.

Poul Halkjær Nielsen, som er citeret i denne artikel, holder oplæg med udgangspunkt i spørgsmålet 'Skal en CISO virkelig bo under it-chefen?

Jeg håber oplæget bliver til en video, som senere kan ses af interesserede, der er forhindret i at deltage på dagen,