KU’s CISO: »Informationssikkerhed handler om meget mere end it«

Forkortelser forklares første gang de optræder. Skal det ikke hedde Informationssikkerhedschef? Altså bare I eller evt ISC?

Forkortelser forklares første gang de optræder. Skal det ikke hedde Informationssikkerhedschef? Altså bare I eller evt ISC?

Men er det ikke det samme som CFO, som er en enkeltsagsforkæmper for det finansielle? Eller CIO, eller ande chief officers?</p>
<p>Jeg synes, CISOer skal være på lig fod med de andre chief officer funktioner, da de alle har ansvar for helheden (kontra hvad du skriver, Michael Cederberg - du skriver jo selv, at security gennemsyrer alle handlinger).

Det nytter ikke med et management team på 30 personer og jo, du kan nemt finde 30 Chief XXX Officer roller i en virksomhed. Nogle af de andre funktioner som traditionelt er repræsenteret på topniveau er enkeltsagsforkæmpere men det er langt fra de fleste. Næsten alle har enten en signifikant pose penge eller en signifikant organisation der kan få ting til at ske. CISO'erne er kendetegnet ved at de kun kan få ting til at ske ved at få andre dele af organisationen til at følge deres befalinger. De kan kun selv gøre meget lidt. Det er altid skidt.

Udover det, så vil jeg mene, at når man har lavet en risikovurdering på sin virksomhed, hvor man inddrager relevante områder og information, så burde man ikke stille spørgsmålet "hvad er vigtigst, sikkerhed eller produktion", da svaret altid bør være: "det skal være sikkert, før det kan gå i produktion". Sikkerhed først! Det er ikke to modstridende ting, som skal afbalanceres, men det ene bør være en betingelse for den anden. Sikkerhed gennemsyrer alt!

Og hvad så med kvaliteten ... kvalitet bør også gennemsyre alt. Og virksomhedens image, sociale forpligtigelser, beskyttelse af minoriteter, etc. Alle vil sidde med ved bordet ...

»Hvis en CISO rapporterer til it-chefen om, at kvaliteten af informationssikkerhed i organisationen ikke er i orden, så kan der opstå en naturlig interessekonflikt, siger han og tilføjer:

Det er vel intet der forhindrer at CISO rapportere højere op , hvis man ikke kan snakke på kryds i en virksomhed har man større problemer end placeringen af en rolle

Problemet med funktioner som CISO er at de er enkeltsagsforkæmpere. De har ikke noget ansvar for helheden.

Men er det ikke det samme som CFO, som er en enkeltsagsforkæmper for det finansielle? Eller CIO, eller ande chief officers?

Jeg synes, CISOer skal være på lig fod med de andre chief officer funktioner, da de alle har ansvar for helheden (kontra hvad du skriver, Michael Cederberg - du skriver jo selv, at security gennemsyrer alle handlinger).

Udover det, så vil jeg mene, at når man har lavet en risikovurdering på sin virksomhed, hvor man inddrager relevante områder og information, så burde man ikke stille spørgsmålet "hvad er vigtigst, sikkerhed eller produktion", da svaret altid bør være: "det skal være sikkert, før det kan gå i produktion". Sikkerhed først! Det er ikke to modstridende ting, som skal afbalanceres, men det ene bør være en betingelse for den anden. Sikkerhed gennemsyrer alt!

<em>»Informationssikkerhed handler om meget mere end it, som blot er en understøttende delfunktion, og er en del af topledelsens ansvar og ikke it-chefens ansvar alene, så hvis CISO’’en kun rapporterer til it-chefen, så er der ingen krog til at drive informationssikkerhed på - så er it-sikkerhed det eneste, som organisationen kan.«</em>

Problemet med funktioner som CISO er at de er enkeltsagsforkæmpere. De har ikke noget ansvar for helheden. Ofte ender man med spørgsmål i stil med ”Hvad er vigtigst? sikkerhed eller at produktionen kører?”. Svaret er selvfølgeligt at det er en balance der afhænger af den konkrete situation. Hvis man trykker glittede brochurer så har man behov for et andet niveau af sikkerhed end hvis man laver udstyr til F35.

Og man kan med samme validitet sige at kvalitet ikke bare hører til et sted i organisationen, og det samme omkring virksomhedens image, HR, etc. Problemet er at security er noget alle skal tage ansvar for. Det gennemsyrer alle handlinger man laver at man skal lave en afvejning af security og alle de andre aspekter. Det der kommer fra en central security funktion mangler typisk forståelse for den specifikke situation.

Vi optager alle keynotes på Infosecurity så man både kan se dem live her på Version2 - og som optaget version senere.

Vh Henning Mølsted, redaktionschef

I PwC's undersøgelse svarede 44 procent af CISO'erne ‘ja’, da de blev spurgt, om organisationens bestyrelse deltog aktivt i den overordnede sikkerhedsstrategi.

Tja, det lyder jo ikke af så mange.

Poul Halkjær Nielsen, som er citeret i denne artikel, holder oplæg med udgangspunkt i spørgsmålet 'Skal en CISO virkelig bo under it-chefen?

Jeg håber oplæget bliver til en video, som senere kan ses af interesserede, der er forhindret i at deltage på dagen,