Man pratar redan om Corona som det som fick digitaliseringen att ta fart på riktigt. Det ligger en hel del i det. Plötsligt fick många företag bråttom att hjälpa sina anställda att kunna arbeta hemifrån, att utöka tillgängligheten för sina system utifrån och köpa in nya tjänster i form av videokonferensverktyg etc. Kul utveckling tycker alla vi som redan varit tillgängliga där vi behöver vara – så att vi kan vara nära våra kunder och kandidater på olika sätt.
En av många självklara nedsidor med en global kris är att man tvingas ad hoc-lösa saker som egentligen kräver genomtänkta eller noggranna förberedelser. Jag tror vi får förvänta oss att roller inom både Informations- och IT-säkerhet samt generell säkerhet kommer få en delvis förändrad och ökad efterfrågan framöver. Det är i skrivande stund mycket nyheter om digitala tjänster med stora säkerhetshål. Hur hittar man en balans för att få allt att samverka i en organisation och samtidigt säkerställa en så säker informations- och IT-hantering som möjligt?
En nyckelperson i frågor kring Informationssäkerhet är CISO:n (CISO – Chief Information Security Officer). Rollen är oftast placerad på ledningsnivå och skiljer sig från CSO – Chief Security Officer, som hanterar alla frågor som rör säkerhet medan CISO:n fokuserar på informationssäkerhet. En CISO’s uppdrag handlar om att skapa ett systematiskt arbete kring informationssäkerheten.
Rollen i sig är inte ny men ett antagande man kan göra är att rollen kommer få förnyad efterfrågan i efterdyningarna av Corona-krisen. En person som redan på 90-talet stakade ut vägen för CISOs roll var Stephen Katz, då CISO på Citigroup. Han definierade ansvarsområdena för rollen såhär:
- Security Operations: Realtidsanalys av omedelbara hot och triage när något går fel.
- Cyberrisk and cyber intelligence: Vara uppdaterad om utvecklingen av säkerhetshot och hjälpa styrelsen att förstå potentiella säkerhetsproblem som kan uppstå genom förvärv eller andra stora affärer.
- Data loss and fraud prevention: Se till att intern personal inte missbrukar eller stjäl data.
- Security architecture: Planera, köpa och rulla ut säkerhetshårdvara och programvara och se till att IT- och nätverksinfrastruktur är utformad med bästa säkerhetspraxis i åtanke.
- Identity and access management: Se till att endast behöriga personer har tillgång till begränsade data och system.
- Program management: Ha framförhållning genom att implementera program eller projekt som minskar riskerna – till exempel regelbundna systemuppdateringar.
- Investigations and forensics: Fastställa vad som gick fel vid ett brott, hantera de ansvariga om de är interna och planera för att undvika liknande kriser.
- Governance: Se till att alla ovannämnda initiativ löper smidigt och får den finansiering de behöver – och att företagsledningen förstår deras betydelse.
CISO – kunskaper och bakgrund
Det ställs stora krav på en CISO. Utöver att ha både bred och djup kunskap inom en rad förordningar och standards behöver en CISO även ha god förståelse för IT, juridik och de olika specialområdena som kan finnas inom ett företag, till exempel HR, försäljning, marknad, produktion och logistik. Vidare måste man också vara en bra kommunikatör och kunna hantera stakeholder management. Man behöver få med sig både ledning och organisation för att driva kontinuerlig förändring och utveckling inom IT- och informationssäkerhet.
En person behöver inte ha spetskompetens inom alla dessa områden men väl djup förståelse för:
- GDPR (Dataskyddsförordningen)
- NIST (information- och cybersecuritystandard)
- Säkerhetsskyddslagen
- ITIL (informationssäkerhetsstandard)
- ISO 27000 och 27001 (informationssäkerhetsstandard)
- NIS-direktivet (säkerhet i nätverk och Informationssystem)
- PCI-DSS (regelverk för betalkort)
- SOGP (informationssäkerhetsstandard)
- SWIFT (finansiell standard)
- COBIT (informationssäkerhetsstandard)
- Incidenthantering och forensiska IT-utredningar
- Business continuity och disaster recovery
Det är nödvändigt för oss att vara digitala men vi kommer att se fortsatta utmaningar att utveckla både system och processer som säkrar informationshantering utan att tynga ner verksamheten med lösningar som blir alltför komplexa och svåranvända.
