Det här inlägget sammanfattar en diskussion som några seniora informationssäkerhetskonsulter haft med kunder och internt på Knowit, om rollen som den högsta funktionsansvarige för informationssäkerheten i en organisation och hur den rollen kan utformas. Med ökande regulatoriska krav från exempelvis NIS2-direktivet och DORA-förordningen står allt fler organisationer inför frågan om hur informationssäkerhetsarbetet ska organiseras.
Diskussionen med kunder och internt hos Knowit, bland experter, funktionsansvariga och ledning visar att behovet av en verksamhetsövergripande funktion för informationssäkerhet är tydligt, men där det kan finnas motstridiga intressen i verksamheter med slimmad ledning men som samtidigt har stora finansiella och regulatoriska risker.
Rollen behövs för att samordna, driva och kontrollera informationssäkerhetsarbetet – men utan att ta över det ansvar som alltid ligger i linjen, ytterst hos VD och styrelse.
En återkommande utmaning i svenska organisationer är benämningen “informationssäkerhetsansvarig”. Den kan uppfattas som att personen är ansvarig för informationssäkerheten, trots att det faktiska ansvaret vilar hos verksamheten och dess ledning. Det kan leda till otydlighet och risk för att linjen frånsäger sig sitt ansvar. Alternativa titlar som informationssäkerhetsstrateg, -samordnare eller -chef kan därför bättre spegla uppdraget – särskilt när rollen handlar om att driva, samordna och stödja, snarare än att äga risk och ansvar.
Titeln CISO kan i vissa organisationer ge tydligare mandat och signalvärde, särskilt i internationella och reglerade miljöer, men behöver alltid kombineras med en tydlig ansvarsmatris som visar att linjen äger riskerna och besluten. Rollen blir då en strategisk funktion som översätter regulatoriska och tekniska krav till styrning och prioriteringar, och som säkerställer att ledning och styrelse får välgrundade underlag.
Praktiska exempel visar att rollerna kan organiseras på flera sätt. Några organisationer har initialt valt ett forum som samlar berörda funktioner, som exempelvis CPO, CFO, Compliance Manager och IT-Ops Manager för att skapa samordning och utnyttja befintliga mandat. Andra väljer en mer traditionell modell med en CISO med tydligt definierat uppdrag och tillgång till ledningen.
Oavsett modell är det avgörande att:
Slutsatsen är att funktionen behövs för att driva och samordna, men att organisationen samtidigt behöver förstärka budskapet om att ansvaret för informationssäkerheten alltid ligger kvar i linjen. På så sätt kan organisationen skapa både tydlighet och effektivitet, samtidigt som man undviker att bygga parallella strukturer som skapar osäkerhet.
Om ni står inför samma utmaning, kan ni komma vidare så här:
Börja med att förstå era egna förutsättningar – vilken bransch ni verkar i, vilka regulatoriska krav som gäller och vilken riskbild ni står inför.
Titta sedan på hur ni leder och styr idag: vilken företagskultur har ni, vilka ledningssystem och beslutsvägar finns redan, och hur kan de utnyttjas bättre?
Genomför en HUKI-workshop1 med era intressenter så att ni har en gemensam bild av var ni står, vilka luckor som finns och vilka vägar som är realistiska framåt.
Utifrån det kan ni formulera ett par tydliga alternativ för hur arbetet kan organiseras.
Och tänk enkelt i början – lagom omfattande styrdokument räcker. Bygg vidare längs vägen när arbetet får fäste i organisationen.
CISO eller inte – det viktiga är en roll med mandat, förtroende och förankring.
1: En HUKI-analys är en svensk variant av RACI-matrisen, som används för att tydliggöra ansvarsfördelningen inom projekt eller processer. HUKI står för Huvudansvarig, Utförare, Konsulterad och Informerad. Modellen hjälper till att definiera vem som är ansvarig för att ett arbete blir utfört, vem som utför det, vem som ska rådfrågas och vem som ska informeras.