Daniel Schwalbe, som arbetar som it-säkerhetschef vid Domain Tools, har många års erfarenhet av säkerhetsarbete. Han har sett hur både yrket och säkerhetsteamens struktur har förändrats över åren.

När han började arbeta med it-säkerhet i slutet av 1990-talet rapporterade hans avdelning till nätverksavdelningen och han fick en känsla av att de flesta var ointresserade av säkerhetsavdelningens arbete. Men med åren blev säkerhetsteamet en egen avdelning och säkerhetsarbetet började då förgrena sig ut i hela verksamheten.

– Det var ett centralt säkerhetsteam, men vi började se att det fanns personer på de olika avdelningarna som, även de, kunde arbeta med säkerhet. De var inte en del av vårt team, men de fick ansvar för vissa delar av säkerhetsarbetet på sina respektive avdelningar, säger Daniel Schwalbe.

Dessa personers arbetsinsatser var enormt värdefulla för it-säkerhetsavdelningen.

– När det finns medarbetare med god kunskap och förståelse för säkerhetsfrågor som du kan alliera dig med, blir säkerhetsarbetet som helhet mycket effektivare, säger Daniel Schwalbe.

När han fatar beslut drar han nytta av denna kunskap. Just nu funderar han över hur han bäst ska organisera sitt växande säkerhetsteam. Han lutar åt en central säkerhetsavdelning med kontaktpersoner på övriga avdelningar. Dessa kontaktpersoner ska få lära sig att snabbt identifiera säkerhetsrisker och agera som pålitliga rådgivare i den egna avdelningens säkerhetsarbete.

– Ett säkerhetsteam fungerar bäst när övriga avdelningar hyser förtroende och respekt för det arbete som utförs, säger Daniel Schwalbe.

En situation som kan illustrera värdet av samarbete mellan en central säkerhetsavdelning och andra avdelningar, är när vissa medarbetare hela tiden måste be om tillstånd för att logga in i ett system och komma åt viss information. Om de redan har löpande kontakter med en säkerhetsavdelning, kan de snabbt få hjälp med en justering av säkerhetsnivån så att de kan logga in på egen hand utan att principen om lägsta behörighet offras.

– Det handlar om att vara mer samarbetsvillig och närma sig saker på ett proaktivt sätt, snarare än att vara reaktiv, tillägger Daniel Schwalbe.

Experter menar att it-säkerhetschefer bör se över sina organisationer som en del av sitt övergripande strategiska arbete och i samband med större förändringar i hela verksamheten. Ett exempel på en sådan förändring är de senaste årens dramatiska ökning av distansarbete, molnlagring och digitalisering som en följd av pandemin.

Rätt modell i rätt situation

It-säkerhetschefer väljer mellan olika organisationsformer – från starkt centraliserade till federerade och olika varianter däremellan. Enligt experterna bör du ta tid på dig att fundera över vilken modell som fungerar bäst och hur den bäst implementeras.

– Att nå effektiv säkerhet handlar oftast inte om att anställa nya personer eller köpa mer utrustning. Det handlar snarare om processer och hur man får dessa att fungera på ett säkrare sätt, säger Adam Goldstein, biträdande professor i it-säkerhet vid Champlain College.

– Efter en incident brukar chefer organisera om säkerhetsavdelningen, men jag tycker att revideringar bör göras oftare. Det råder en ny dynamik på arbetsplatserna och hoten mot säkerheten förändras hela tiden, säger Jack O’Meara på Guidehouse.

Varje organisationsform erbjuder både möjligheter och utmaningar. Exempelvis tycker it-säkerhetschefer vanligtvis att det är lättare att utöva kontroll i en centraliserad modell med full transparens avseende den teknik som används – särskilt om det finns många kontaktpersoner på olika avdelningar i verksamheten.

– Å andra sidan kan säkerhetsteamet lättare samarbeta med andra avdelningar under en federerad modell, men i så fall krävs det en stark styrning av tekniken för att säkerställa att säkerhetsstandarder upprätthålls i alla delar av verksamheten, tillägger Jack O’Meara.

Mot bakgrund av detta väljer många it-säkerhetschefer i stället en hybridmodell där vissa säkerhetsfunktioner centraliseras samtidigt som säkerheten bäddas in i övriga delar av verksamheten genom exempelvis kontaktpersoner ute på avdelningarna. På så sätt kan de minimera potentiella fallgropar och ändå dra nytta av fördelarna med båda organisationsformerna.

Daniel Schwalbe håller med och förklarar att han låter säkerhetspersonalen rapportera till honom, samtidigt som han uppmuntrar säkerhetsavdelningens kontaktpersoner att vara aktiva på sina respektive avdelningar.

Tid för utvärdering

Föga överraskande menar Jack O’Meara och andra att det inte finns en enda organisationsform som fungerar bäst för alla. Ändå är de överens om att it-säkerhetschefer bör vara noga med att ta välgrundade beslut om hur och när de ska omorganisera.

Joe Nocera på PWC:s Cyber ​​& Privacy Innovation Institute råder it-säkerhetschefer att identifiera sina verksamheters kärntjänster och utvärdera om säkerhetsfunktionerna är tillräckligt anpassade efter varje avdelnings behov.

– När säkerhetsteamet visar upp en lyhördhet och kan erbjuda skräddarsydda lösningar för respektive enhet, blir det lättare att bädda in resurser och skaffa allianser, säger Joe Nocera.

Enligt honom handlar det mindre om säkerhetsteamets storlek och mer om hur moget företaget är som helhet när det gäller säkerhet.

– Om ett företag inte har prioriterat sin säkerhet, rekommenderar jag en centraliserad modell där utvecklingen drivs från centrum. Men företag som redan har en fungerande hantering av sin säkerhet, gör helt rätt i att börja federera och decentralisera.

Värdet av förståelse

I likhet med sina kolleger, ser Joe Nocera fördelar med både centraliserade och decentraliserade organisationer.

– Med en centraliserad organisation kan du som ciso vara mer styrande. Det är också mer troligt att resurserna används på det sätt du förväntar dig, samtidigt som det blir lättare att definiera roller, ansvar och arbetsflöden. Du kan också räkna med mer direkt feedback, säger han.

– Lyckas du få medarbetarna på affärs- och utvecklingsenheterna att se säkerhetspersonalen som en del av deras egna team, är chansen stor att deras intresse för säkerhetsfrågor ökar. Då blir det också lättare för dig att bädda in säkerheten på ett tidigt stadium i olika processer.

Enligt många experter handlar det ändå inte bara om att förstå för- och nackdelar med olika organisationsformer. Avgörande är att It-säkerhetschefer vet vilken organisationsform som ska användas och varför.

– Om du som it-säkerhetschef har denna förståelse, tror jag att du kan nå en optimal säkerhetsnivå oavsett vilken organisationsform du väljer, säger Joe Nocera.

Steven Sim, som är it-säkerhetschef för ett stort internationellt företag, har ett liknande synsätt. Hans eget säkerhetsteam har en hierarkisk struktur i tre nivåer. Den översta nivån, som är på global nivå, inkluderar styrning, incidenthantering och ett projektledningskontor. Sedan finns det regionkontor och under detta olika affärsenheter med egna it- och säkerhetsteam. Man kan också hämta resurser från en region för att hjälpa andra regioner när det behövs. Dessutom koordineras regionerna, så att man till exempel kan avgöra om incidenter i olika regioner är relaterade.

– Det finns säkert områden där decentralisering är vettig, men enligt min uppfattning finns det inte någon universallösning. Vilken organisationsform som passar bäst i ett visst sammanhang beror på vilken typ av verksamhet det rör sig om och dess kultur, mognad och flexibilitet, säger Sim.

Allra viktigast är ändå att alla ledare tar ansvar för verksamhetens säkerhet.

– Säkerhet har blivit allas ansvar; alltså har alla en funktion i detta arbete, förtydligar Sim.

Även Sam Olyaei på Gartner menar att säkerhetsavdelningens organisation har betydelse i sammanhanget men att det är hanteringen av säkerheten som är avgörande.

– It-säkerhetschefer behöver inte i första hand inrikta sig på vilken organisationsform som passar bäst utan snarare på hur deras team passar in i verksamheten som helhet, hur väl verksamheten hanterar risker, hur mogna processerna och regelverket är, vilken kultur som råder och hur de på bästa sätt kan utveckla en säkerhetsstandard i den miljön, förklarar han.

– Man kan omorganisera på tusen olika sätt, men det kommer inte att lösa några grundläggande problem. Det är viktigare att lösa underliggande frågor kring styrning och ledarskap än att försöka omorganisera sig runt ett problem, säger Sam Olyaei.