Waar zit de CISO in het managementteam? (deel 2)

Optie 5: Rapporteren aan de CLO

Een weinig voorkomend model is dat de CISO rapporteert aan de Chief Legal Officer (CLO) van een organisatie. Dit gebeurt wanneer een CEO de kritieke aard van cybersecurity en zijn wettelijke eisen en risico’s goed onderkent en van mening is dat de CLO als beste wordt vertrouwd om deze kwesties aan te pakken.

Juridische functionarissen in een organisatie behandelen belangrijke kwesties met betrekking tot informatiebeheer en compliance en hebben een goed idee over de bedrijfsvoering, aangezien ze vaak als bestuurssecretaris fungeren. Ze raken ook vaak betrokken bij een cybersecurityincident. In tegenstelling tot de CEO of zelfs de CFO, heeft de juridisch medewerker van een organisatie weinig andere mensen binnen de organisatie die aan hem rapporteren, zodat een CISO een gewaardeerd adviseur kan worden.

Een nadeel van dit model is dat CLO’s vaker incidenteel betrokken zijn bij cybersecurity, bijvoorbeeld wanneer een overtreding plaatsvindt. Ze hebben minder interesse in cybersecurity in vergelijking met een operationeel probleem dat moet worden gepland, gecontroleerd en verbeterd.

 

Optie 6: Rapporteren aan de CEO

Lang is voorspeld dat de CISO rechtstreeks aan de CEO zou rapporteren; drie jaar geleden voorspelde IDC dat 75% van de CISO's dit zou doen. Dit rapportagemodel is echter nog steeds eerder de uitzondering dan de regel. De organisaties die deze aanpak hebben omarmd, zijn meestal op technologie gerichte bedrijven of bedrijven die cybertegenslagen hebben gehad en die een CISO nodig hebben die een echte bedrijfsleider is.

Rapportage aan de CEO handhaaft de onafhankelijkheid van de CISO-rol en kan zo een vollediger, meer open discussie met alle senior stakeholders mogelijk maken. Maar het toevoegen van de CISO aan de directe rapportagestructuur van de CEO’s, gaat in tegen een trend van CEO's die eerder het aantal directeuren willen verminderen dan vergroten. CEO's willen minder afleiding van hun focus op strategie en operationeel leiderschap.

Dit verklaart wellicht waarom die voorspellingen van CISO's die rapporteren aan CEO's nog niet zijn uitgekomen. Veel CEO's geven er misschien de voorkeur aan dat CISO rapporteert aan de CIO, die vervolgens relevante informatie kan filteren.

 

Optie 7: Rapporteren aan het bestuur

Een alternatief dat maar weinig bedrijven hebben overwogen, maar de moeite van het onderzoeken waard is, is om de CISO rechtstreeks aan de raad van bestuur of een van zijn teams te laten rapporteren.

De hoofdverantwoordelijkheid van het bestuur is om toezicht te houden op het management. Naarmate organisaties meer digitaal worden, moet het bestuur weten wat het waarheidsgehalte is van de cyberprestaties van een organisatie. Een CISO die rechtstreeks rapporteert aan het bestuur kan het proces van uitwisseling van kritieke informatie niet mooier maken dan het is. Deze sessies kunnen het bestuur ook in staat stellen cyberinformatie te krijgen buiten de vergaderingen van het bestuur om zodat hun aandacht niet wordt overstemd door een overvloed aan andere kwesties. Een grote uitdaging met dit model is echter of het bestuur voldoende kennis van cybersecurityvraagstukken heeft om deze betrokkenheid zinvol genoeg te maken.

Conclusie

Over het algemeen zijn er geen verkeerde of juiste manieren om de CISO in de organisatie te laten passen. Wat belangrijk is, is dat de zorgen en aanbevelingen van een CISO volledig worden gehoord en begrepen. Een rapportagemodel dat de kloof in het gemeenschappelijke begrip van cybersecurity niet wegneemt vanuit verschillende technologie- en bedrijfsleiders, zal voor niemand, CISO, CRO, CIO, CFO, CEO of iemand anders op directieniveau, van pas komen.