Overslaan en naar de inhoud gaan

Waar zit de CISO in het managementteam? (deel 2)

Cybersecurity risicobeheer is een steeds belangrijkere prioriteit op ​​top strategisch niveau en de Chief Information Security Officer (CISO) maakt steeds vaker deel uit van het managementteam. Een belangrijke vraag is dan ook: waar zit de CISO in het managementteam? Greg Day beschreef in een eerder blog al de opties van rapportage aan de CIO, CRO, CFO en CDO. In dit blog beschrijft hij de rapportage aan de CLO, CEO en het bestuur.
team
© CC BY 2.0 - Flickr
CC BY 2.0 - Flickr

Optie 5: Rapporteren aan de CLO

Een weinig voorkomend model is dat de CISO rapporteert aan de Chief Legal Officer (CLO) van een organisatie. Dit gebeurt wanneer een CEO de kritieke aard van cybersecurity en zijn wettelijke eisen en risico’s goed onderkent en van mening is dat de CLO als beste wordt vertrouwd om deze kwesties aan te pakken.

Juridische functionarissen in een organisatie behandelen belangrijke kwesties met betrekking tot informatiebeheer en compliance en hebben een goed idee over de bedrijfsvoering, aangezien ze vaak als bestuurssecretaris fungeren. Ze raken ook vaak betrokken bij een cybersecurityincident. In tegenstelling tot de CEO of zelfs de CFO, heeft de juridisch medewerker van een organisatie weinig andere mensen binnen de organisatie die aan hem rapporteren, zodat een CISO een gewaardeerd adviseur kan worden.

Een nadeel van dit model is dat CLO’s vaker incidenteel betrokken zijn bij cybersecurity, bijvoorbeeld wanneer een overtreding plaatsvindt. Ze hebben minder interesse in cybersecurity in vergelijking met een operationeel probleem dat moet worden gepland, gecontroleerd en verbeterd.

 

Optie 6: Rapporteren aan de CEO

Lang is voorspeld dat de CISO rechtstreeks aan de CEO zou rapporteren; drie jaar geleden voorspelde IDC dat 75% van de CISO's dit zou doen. Dit rapportagemodel is echter nog steeds eerder de uitzondering dan de regel. De organisaties die deze aanpak hebben omarmd, zijn meestal op technologie gerichte bedrijven of bedrijven die cybertegenslagen hebben gehad en die een CISO nodig hebben die een echte bedrijfsleider is.

Rapportage aan de CEO handhaaft de onafhankelijkheid van de CISO-rol en kan zo een vollediger, meer open discussie met alle senior stakeholders mogelijk maken. Maar het toevoegen van de CISO aan de directe rapportagestructuur van de CEO’s, gaat in tegen een trend van CEO's die eerder het aantal directeuren willen verminderen dan vergroten. CEO's willen minder afleiding van hun focus op strategie en operationeel leiderschap.

Dit verklaart wellicht waarom die voorspellingen van CISO's die rapporteren aan CEO's nog niet zijn uitgekomen. Veel CEO's geven er misschien de voorkeur aan dat CISO rapporteert aan de CIO, die vervolgens relevante informatie kan filteren.

 

Optie 7: Rapporteren aan het bestuur

Een alternatief dat maar weinig bedrijven hebben overwogen, maar de moeite van het onderzoeken waard is, is om de CISO rechtstreeks aan de raad van bestuur of een van zijn teams te laten rapporteren.

De hoofdverantwoordelijkheid van het bestuur is om toezicht te houden op het management. Naarmate organisaties meer digitaal worden, moet het bestuur weten wat het waarheidsgehalte is van de cyberprestaties van een organisatie. Een CISO die rechtstreeks rapporteert aan het bestuur kan het proces van uitwisseling van kritieke informatie niet mooier maken dan het is. Deze sessies kunnen het bestuur ook in staat stellen cyberinformatie te krijgen buiten de vergaderingen van het bestuur om zodat hun aandacht niet wordt overstemd door een overvloed aan andere kwesties. Een grote uitdaging met dit model is echter of het bestuur voldoende kennis van cybersecurityvraagstukken heeft om deze betrokkenheid zinvol genoeg te maken.

Conclusie

Over het algemeen zijn er geen verkeerde of juiste manieren om de CISO in de organisatie te laten passen. Wat belangrijk is, is dat de zorgen en aanbevelingen van een CISO volledig worden gehoord en begrepen. Een rapportagemodel dat de kloof in het gemeenschappelijke begrip van cybersecurity niet wegneemt vanuit verschillende technologie- en bedrijfsleiders, zal voor niemand, CISO, CRO, CIO, CFO, CEO of iemand anders op directieniveau, van pas komen.

Serie

Dit blog is deel 2 in een serie van 2 blogs. In het eerste blog is het rapporteren aan de CIO, CRO, CFO en CDO beschreven.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in