Nej, det går inte att svara på vad en cso, chief security officer, är och gör med bara några ord. Det kan handla om att vara it-säkerhetschef men allt oftare handlar det om att hantera alla säkerhetsfrågor på företaget. Parallellt har titeln ciso, chief information security officer, dykt upp som begrepp för den som just ansvarar för att säkra företagets information.

Men även om alla företag inte organiserar sitt säkerhetsarbete på samma sätt så låt oss se hur vår amerikanska systersajt CSO Online beskriver hur cso-rollen kan se ut. 

Problemlösare och stigfinnare

När Amanda Fennell, cso på Relativity, beskriver en modern cso som en problemlösare och stigfinnare som arbetar nära med olika it- och teknikteam för att kunna förutse och skapa strategier för ett område som snabbt förändras när det gäller regler och styrning.

En något mer konkret bild ger Shawn Burke, cso på Sunguard.

– Det är jag som till sist är ansvarig för att se till att säkerhetsfunktionen ger ett värde för verksamheten.

Båda pekar på att cso:ns huvudsakliga uppgift är att se säkerhet som en strategisk tillgång och en del av uppdraget och inte som något som dyker upp efter att en incident inträffat, som en del av arbetet med att begränsa skadorna.

Läs också: Funderar du på att starta eget som it-konsult? Här är sju saker du måste kunna.

Bred erfarenhet 

När företag söker en cso vill de gärna ha någon med en bred erfarenhet både från den tekniska sidan och från verksamhetssidan inom säkerhet förklarar Paul Wallenberg, chef för teknikerrekrytering på Lasalle.

De kan ha med sig en teknisk bakgrund som ingenjörer eller arkitekter som arbetat med system inom områden som exempelvis identitetshantering eller threat intelligence, underrättelser om hot. Eller så kan de ha jobbat mer med styrning, risk och regelefterlevnad. Och det finns också de som letar efter så kallade white hats, en person som har de kunskaper som krävs för att utföra dataintrång men som använder dem för att motverka brott.

– Du måste visa att du stigit i graderna på en säkerhetsavdelning eller, i en större verksamhet, varit inblandad i säkerhetsprogram och initiativ som påverkat applikationer, infrastruktur och externa hot, säger Paul Wallenberg.

Men det krävs också andra kvalifikationer enligt Amanda Fennell.

– En teknisk bakgrund kan vara ett enormt hjälpmedel för att fatta välgrundade beslut, men passion för att lösa de pussel som informationssäkerheten för med sig är också viktigt.

Och precis som alla andra i ledningen krävs att cso:n blir allt mer affärsinriktad tillägger Shawn Burke.

– Samtidigt som en cso alltid måste vara tekniskt behörig, måste man också kunna tydligt förklara andra aspekter av sitt arbete, till exempel sin riskhanteringsmetodik för andra intressenter i organisationen. Cso:n måste bli en betrodd rådgivare till ledningen. Det är bara möjligt om man har en god ledarskapsförmåga.

Så ser jobbet ut

Vad ligger då konkret på cso:ns bord? CSO Online radar upp följande ansvarsområden:

– Att leda riskhanteringen så att företagets, och varumärkets, värde ökar.

– Hålla i ett nät av säkerhetschefer och leverantörer som kan säkra företagets tillgångar  det kan handla om immateriella tillgångar och it-system men också om den fysiska säkerheten för de anställda och besökare.

– Identifiera skyddsvärda mål och mätvärden som ligger i linje med företagets strategi.

Läs också: En tredjedel av it-proffsen vill byta jobb – här är sex skäl till varför

– Hålla i utvecklingen och implementationen av säkerhetspolicy, standarder, vägledningar och processer som gör att säkerheten hela tiden underhålls. Fysiskt skydd kan handla om allt ifrån att förebygga våld på arbetsplatsen till att hantera videoövervakning och ansvara för system för åtkomstkontroll. Informationsskydd inbegriper allt ifrån säkra nätverk till att utbilda personalen.

– Arbeta med andra chefer för att prioritera säkerhetsinitiativ och kostnader som baseras på riskhanteringen.

– Se till att ha kontakt med polis och andra myndigheter relaterade till säkerheten.

– Ansvara för hur intrång ska bemötas och utredas. Arbeta med utomstående konsulter för att få oberoende granskningar.

Och så här ser önskelistan på hur de kvalifikationer som krävs för en cso:

– Det ska vara en intelligent, verbal och övertygande ledare som kan kommunicera säkerhetsrelaterade frågor till både medarbetare med teknikkunskaper och dem utan teknikkunskaper.

– Erfarenhet från att arbeta med revisioner, kontinuitet i verksamheten och riskhantering och från att förhandla med leverantörer.

– Goda kunskaper om den relevanta lagstiftningen och en solid förståelse av it och informationssäkerhet.