CISO-rollen har blitt en strategisk nøkkelfunksjon

CISO-rollen har blitt en strategisk nøkkelfunksjon

Forfatter:
Vidar Strand, CISO i Telenor Cyberdefence

Cybersikkerhet har flyttet seg fra serverrommet til styrerommet. I dag handler CISO-rollen om langt mer enn teknologi. Den handler om å forstå risiko, støtte gode beslutninger og sikre virksomhetens evne til å skape tillit og verdier.

Gjennom karrieren min har jeg jobbet som utvikler, fagleder og arkitekt på tvers av plattformer, infrastrukturer og bransjer. Sikkerhet har alltid vært en integrert del av arbeidet mitt. Da jeg valgte å gå inn i CISO-rollen, handlet det derfor ikke først og fremst om teknologi, men om å ta ansvar for helheten, risikoen og den strategiske retningen.

Denne utviklingen gjenspeiler hvordan cybersikkerhet har endret betydning i virksomheter. Der nettverkssikkerhet og patching tidligere sto i sentrum, preges agendaen nå av AI-trusler, regulatoriske krav, virksomhetsrisiko og kommunikasjon med styre og ledelse. Erfaringer fra cyberangrep viser hvor raskt samfunnskritiske tjenester kan stoppe opp, pasientsikkerhet kan påvirkes og tillit svekkes. Sikkerhet er ikke lenger bare et IT-anliggende, det er et lederansvar.

CISO-rollen er dermed ikke en støttefunksjon i kulissene, men en strategisk nøkkelfunksjon. Oppgaven er å forstå, forklare og håndtere risiko i skjæringspunktet mellom teknologi, forretning og mennesker.

Jeg ser samtidig at virksomheter har svært ulik tilnærming til informasjonssikkerhet. Noen utsetter nødvendige investeringer og nedprioriterer det kontinuerlige, forebyggende arbeidet. Andre behandler sikkerhet som et prosjekt – noe man kan bli ferdig med gjennom et nytt verktøy, en rapport eller et enkeltstående tiltak.

I praksis handler god sikkerhet sjelden om flest mulig verktøy eller flere rapporter. Det handler om å forstå helheten, prioritere det som er viktigst og ta tydelige valg.

Slike valg innebærer ofte krevende avveininger. Virksomheter ønsker høy innovasjonstakt og god brukervennlighet, samtidig som sikkerhetsprinsipper må ivaretas. Blir løsningene for rigide, kan resultatet bli skygge-IT og frustrasjon blant ansatte. Derfor er det avgjørende å identifisere virksomhetens mest kritiske verdier – «kronjuvelene» – og bygge beslutninger på solide risikovurderinger og klare prioriteringer.

Et sentralt spørsmål er: Hvilke risikoer er vi villige til å leve med? Dette må diskuteres på toppledernivå, ikke for å skape frykt, men for å legge grunnlaget for gode beslutninger.

I Telenor Cyberdefence tar vi denne utviklingen på alvor. Å styrke og tydeliggjøre CISO-rollen er et bevisst valg. Ikke bare fordi trusselbildet er komplekst, men fordi håndteringen av det krever strategisk forankring og tydelig ledelse.

Min viktigste oppgave som CISO er ikke å ha alle svarene, men å sørge for at de riktige spørsmålene blir stilt – tidlig nok, tydelig nok og på riktig nivå.

Sikkerhet er ikke et mål i seg selv. Det er en forutsetning for tillit, verdiskaping og samfunnsansvar. Derfor må sikkerhet forankres der de viktigste beslutningene tas, i virksomhetens ledelse og styre.