Hvordan opbygger man en god CISO-CFO arbejdsrelation!
Et velfungerende CISO/CFO-forhold vil hjælpe med at sikre, at en organisation har de rigtige ressourcer til sin IT-sikkerhedsstrategi.
Enhver CISO ved, at et af de vigtigste og måske udfordrende aspekter af jobbet er at få de nødvendige midler til at støtte cybersikkerhed for virksomheden. Personen der afleverer beslutningstagningen om virksomhedens budgettering er som oftest CFO.
CFO/CISO-forholdet er desuden afgørende for at forstå, hvordan virksomheden måler succes og kommunikerer de cybertrusler den står over for til resten af organisationen.
Her er nogle bedste fremgangsmåder for CISO’er, når de kommunikerer med CFO’en i deres organisation.
Tal CFO’ens sprog
CISOs taler gerne om målinger, der vedrører cybersikkerhed f.eks. antallet af behandlede påmindelser, gennemsnitlig tid til at svare, gennemsnitlig tid til at afhjælpe og nede-tid.
Det er begreber finanschefer sansynligvis ikke er så interesserede i og derfor er der ingen mening i at bringe dem op i drøftelser. CFO’er er på udkig efter målinger forbundet med risiko- og sikkerhedsholdning og ønsker mest at vide om organisationen er ”sikker”. Formidling af oplysninger om sikkerhedsaktivitet vil frustrere CFO’er, da de ikke giver de oplysninger, de ønsker.
Det mest hensigtsmæssige vil være at CISO etablerer et sæt målinger, der kommunikerer de nødvendige oplysninger og ikke kun udelukkende handler om at registrere hårde faktuelle data. CISO taler på den anden side ofte om risiko i ukonkrete vendinger.
Udnyt datarige økonomiske modeller til at kvantificere risici
I retning af at tale CFO’ens sprog bør CFO’er anvende økonomiske modeller, når det er muligt. Vedtagelse af en økonomisk model til kvantificering af informationsrisiko har den fordel at sikre, at du prioriterer den mest virkningsfulde risikoreduktionsindsats og optimerer cybersikkerhedsudgifter, hvilket i sidste ende er, hvad CFO ønsker af CISO.
Økonomiske modeller bør være rige på data. De fleste CFO’er tager datadrevne beslutninger og data er meget mere objektive og vanskeligere at manipulere end subjektive meninger eller fornemmelser. En af de bedste investeringer, CISO kan foretage i at forbedre effektiviteten af meddelelser til en CFO, samt andre C-suite ledere, er at bakke argumenter op med relevante data.
Kommuniker regelmæssigt
Når en CISO synes at mestre CFO’ens sprog, er det klogt at kommunikere regelmæssigt. Hyppige interaktioner kan hjælpe med at holde CFO’er underrettet om de nyeste cybersikkerhedstrusler, sårbarheder, værktøjer, standarder osv. og holde CISO’er opmærksomme på den finansielle og budgetterede situation i organisationen.
Dette gælder især i betragtning af det hurtigt skiftende sikkerhedslandskab med nye trusler, der konstant dukker op og nye løsninger, der rammer markedet. Kommunikation skal være proaktiv og hyppig, men også kortfattet. CFO’er er ikke interesseret i at blive cybersikkerhedseksperter. De vil have forsikringer om, at organisationen er passende beskyttet og de ønsker at være opmærksomme på organisationens risikoprofil.
Invester i dine egne finansielle færdigheder
Det er ikke nok at formidle værdien af cybersikkerhed ved hjælp af finansielle modeller; CISO’er er nødt til at forstå, hvordan finansieringen fungerer for at kunne arbejde effektivt sammen med CFO’en. En CISO bør være økonomisk vidende. Hvis ikke CISO forstår forskellen mellem en resultatopgørelse og en balance og nuancerne mellem en driftsudgift og en kapitalinvestering, vil det være svært at få respekt blandt de jævnbyrdige i C-suite og især CFO.
En MBA kan være den bedste investering en faglige udvikling. Som minimum kan nogle online kurser i grundlæggende regnskabs-og finansiering begreber være bedre end at forsøge at navigere i C-suite uden finansielle færdigheder.
CISO kan også hjælpe med at uddanne finansledere og deres teams om grundlæggende sikkerhedsproblemer og skabe relevans og forståelse for vigtigheden af cybersikkerhed. Finansielle medarbejdere er et ideelt mål for phishing/vishing/malware-kampagner rettet mod medarbejdere, der kan godkende transaktioner. Brug derfor gerne ekstra tid på at uddanne og arbejde med disse teams og reducer risikoen og samtidigt opbygges et forhold til CFO’en.
Forstå budgetprocessen
I de fleste organisationer styrer CFO’er ikke budgettet. De styrer budgetprocessen. Det er en subtil, men vigtig skelnen. Den årlige budgetcyclus kan man ikke rykke og kommer man forsent med forslag til investeringer man blive mødt af pushback, uanset vigtigheden af behov.
Selv hvis virksomheden holder noget af budgettet tilbage for overraskelser, gøres andres job sværere og nedgør deres arbejde ved at arbejde uden for processen.”
Glem ikke planlægning
God cybersikkerhedsplanlægning er vigtig i sig selv, men det er især vigtigt for at håndtere CFO’en og andre økonomichefer. CFO’er hader overraskelser. Det sidste, en CFO ønsker, er en uventet overraskelse i slutningen af et regnskabsår.”
Det er en god ide at opdatere planer regelmæssigt, herunder alt relateret til nye investeringer i sikkerhedsværktøjer og -tjenester. Det er også godt at planlægge langt ind i fremtiden. Den typiske 12-måneders it-planlægning bør ikke findes. Planerne skal være flerårige og være omfattende på tværs af IT og sikkerhed.
Flerårig planlægning kan ikke kun forbedre effektiviteten af sikkerhed, men øge forudsigeligheden. Truslen om uventede udgifter reduceres drastisk og samtidigt kan truslen om uventede udgifter også belyses, så CFO kan vælge at tage hensyn.
Særskilt subjektiv og objektiv analyse
Næsten alle sikkerhedsanalyser er subjektive. Selv tilsyneladende kvantitative metoder er virkelig bare subjektive. Det er ikke unikt for sikkerhedsteams. Finansielle teams har ofte prognoser, der indeholder en vis grad af subjektivitet, men en finansiel analyse med subjektivitet kaldes normalt ud, omhyggeligt identificeret og inspiceret.”
Gæt omkring Sikkerhed, på den anden side, egner sig sjældent til kritisk analyse. CISOs taler om afkast af sikkerhed investeringer ved hjælp af gæt om sandsynligheden. I samtale med en CFO, er det en god start at anerkende det gætteri, der går ind i forudsigelserne. Her må evnes til at sælge forudsigelser oversælges, hvis der ønskes mere empati for de sikkerhedsmæssige udfordringer.
Kontakt Henning Sand på 31971111.