Waar zit de CISO in het managementteam?

Het is duidelijk dat er geen ‘one size fits all’-antwoord is. Organisaties moeten de voor- en nadelen van verschillende opties afwegen en zien welke het beste bij hen past.

Optie 1: Rapporteren aan de CIO

Traditioneel gezien rapporteert de CISO aan de Chief Information Officer (CIO). Ook tegenwoordig is dit nog steeds de meest voorkomende afspraak. Dit rapportagemodel is logisch omdat de CIO lid is van het zakelijk managementteam dat cybersecurity het beste moet begrijpen en de CISO-rol is gecreëerd om IT-systemen en -gegevens te beveiligen.
Dit model kan echter zijn relevantie verliezen nu CISO’s beginnen in te zien hoeveel ze nodig hebben om controle uit te oefenen buiten het IT-gebied. Ze moeten bijvoorbeeld rekening houden met cyberbewustzijn en -ontwikkeling van medewerkers maar ook met beleidsontwikkeling en zelfs met programma's voor culturele verandering. Technologische oplossingen kunnen niet het hele probleem oplossen als de grootste kwetsbaarheden de mensen in een organisatie zijn.

CIO's hebben ook concurrerende prioriteiten die mogelijk in strijd zijn met de cybersecurity-agenda van een CISO. Het budget voor de ontwikkeling van applicaties, infrastructuur en netwerken kan bijvoorbeeld prioriteit hebben op iets wat de CISO belangrijk vindt voor het team en de organisatie als geheel.

Optie 2: Rapporteren aan de CRO

Een recente trend is dat de CISO werkt onder de Chief Risk Officer (CRO). Dat gebeurt vooral binnen financiële diensten en grotere bedrijven. Organisaties die vertrouwen op een groter inzicht in ondernemingsrisico's erkennen dat hun risicomanagementteam de cyberrisico's veel grondiger en proactiever moet aanpakken. De CISO is dan een effectief lid van het risicoteam.

Een nadeel van dit model is dat de CRO vaak niet rapporteert aan de CEO. Daardoor kan deze rapportagestructuur CISO's verder afzetten van topmanagers en de bedrijfsstrategie.

Optie 3: Rapporteren aan de CFO

Bedrijven verzamelen allerlei functies onder de financiële afdeling: IT, risicobeheer, inkoop, belasting en audit. Het is dus niet ongebruikelijk om de CISO daar te plaatsen.

Met de Chief Financial Officer (CFO) als baas staat de CISO in direct contact met de financiële macht van het bestuur. CFO's die gevoelig zijn voor risicobeheer kunnen cruciale beslissingen nemen over uitgaven voor cyberbeveiliging.

Het nadeel is dat veel CFO's rendementen willen zien, vooral als ze worden gestimuleerd door de winstgroei op jaarbasis. Dit kan een uitdaging zijn voor CISO's die het misschien moeilijk vinden om de financiële voordelen van cyberbeveiligingsinvesteringen te presenteren.

Optie 4: Rapporteren aan de CDO

De Chief Data Officer (CDO) is een relatief nieuwe bedrijfsrol die vaak gericht is op het behoud en de uitbreiding van de waarde van bedrijfsgegevens. Er is in zekere zin enige overlap met de rol van de CISO bij het beschermen van die gegevens.

De CDO heeft echter de neiging om gegevens te zien op manieren die botsen met een CISO. Een CDO wil gegevens gebruiken om de inkomsten te vergroten en kan voor de realisatie daarvan een CISO beschouwen als obstakel. Met de focus op het verzamelen van data voor het bedrijf kunnen de mogelijkheden van een CDO om ook cybersecurity te ondersteunen beperkt zijn. Net als een CRO rapporteert een CDO niet noodzakelijkerwijs aan de CEO, wat betekent dat de CISO verder verwijderd blijft van strategische besluitvorming en budgetvorming.