Thursday, March 3, 2011

Risk Management: Solving the CISO's Conflicts of Interests

The CISO's Conflicts of Interests
Acting as a CISO is usually a difficult position, because the CISO is asked to act both as a comprehensive risk manager for IT and as an IT security expert.

Depending on whom the CISO is reporting to, either the risk management side or the IT security side will show most. Suppose the CISO is reporting to the CIO and he'll spend most of his time auditing, helping write good procedures, good RFPs and so on. Now suppose the CISO is reporting to the company's CRO, he'll spend his time compiling statistics, forging risk estimation methods and so on.

There seems to be a conflict of interests if the CISO is working under the CIO. How could he report about a major risk? How could he at the same time prescribe additional security requirements and be the one to implement them? And there may also be a conflict of interests between the CRO's calculated risks and the CISO's inner sense of what's risky in IT.

An illusionary conflict
However, I think that's just an apparent conflict of interests, an illusion. I think there's a continuum of risk management maturity from the "gut feelings" to the successful risk assessment and evaluation. And security programs grow in maturity the same way: They start with obvious things, sometimes pushed by a legal constraint, and they grow into wide security project inspired by comprehensive frameworks, and they eventually cover the whole IT perimeter with pondered security measures.

As I see it, all three of the CISO, CIO and CRO have the same three goals for IT:
  1. Delivering good services to the customer,
  2. Ensuring the conservation of the (information) assets they're trusted with,
  3. Keeping reputation high and lawsuits low by not sharing those assets with unwanted people.
That is, they all three share the same goals: Availability, Integrity and Confidentiality. They're simply not held accountable for the same parts:
  • The CIO is usually accountable for part 1.
  • The CRO is usually accountable for part 3, especially the "lawsuits" part.
  • The CISO is accountable for some or all of them, depending on whom he reports to, and is especially accountable for the "confidentiality" part because of the required expertise.
So I think there's no real conflict of interests because the interests are, in fact, the same.

The path out of the illusion
The way to the disappearance of this illusionary conflict is an appropriate alignment of expectations between the CIO, the CRO and the CISO.
The CIO will want immediate technical solutions and the CRO will want risk models and ROI-like estimations.
The CISO's job is to make sure they both understand that there's no opposition between the two and that the maturity level of the security process will evolve to the point where they'll both be satisfied by the very same security measures, justified by the very same arguments.

3 comments:

  1. Bonjour Christophe,

    Je trouve ton post intéressant. Je suis justement à la recherche de savoir (pour ne pas dire information ;-) sur les responsabilités que peuvent assumer les CInformationO, CISO, CRiskO, CTechnologyO...

    Un beau modèle de répartitions des tâches = stratégiques/tactiques/opérationnelles

    Il me semble qu'il y a de la confusion entre information et informatique en anglais... ce qui mèle un peu le monde au complet...

    depuis 20 ans le CIO est un directeur des technologies de l'information... numérique. Serveurs, ordinateurs, bases de donnnées, fichiers, etc.

    Mais que fait ton de l'information dans la tête des gens, sur papier, etc. et des risques associés.

    Il me semble que le Chief Information Officer devrait couvrir plus large que les TI (le CISO aussi...)

    Le CISO est parfois malheureusement placé parfois sous le CIO... ce qui limite ses intervention auprès du juridique, des RH, etc.

    Et puis comment fait-on la distinction avec le Chief Technology Officer et le CIO?

    Et finalement le Chief Risk Officer... qui vient lui plutôt du côté des comptables...des chiffres.

    Enfin... les conseils d'administration, the board, doivent être capable de prendre en main la gestion des risques liés à l'information... pas seulement TI. Mais ils sont d'une autre génération... leur rôles et responsabilités vis à vis de l'information et sa gestion dans son ensemble est une brume

    Dans la norme ISO27005 la petite soeur de 31010 apliquée à la gestion des risques de l'information TI on commence à aborder les biens, ou actifs... pas seulement technologiques.

    Dans ISO38500... on parle governance/management mais encore TI...

    Qu'en penses tu?

    Christophe Jolivet
    ITIL, ABCP, CRISC, ISO 27001 Lead Implementer, ISO 27005 Risk Manager

    PR4GM4 Inc.
    418-261-6320
    www.pr4gm4.com
    Pr4gm4tique = Qui se fonde sur l'action, les résultats concrets et l'efficacité
    Pr4gm4tic = Which is based on action, the concrete results and effectiveness

    Incubator of:
    www.p4r4risque.com
    www.p4r4risk.com
    www.p4r4riesgo.com
    www.p4r4risco.com

    ReplyDelete
  2. Bonjour Christophe et merci de ton intérêt.

    > Je trouve ton post intéressant. Je suis justement à la recherche de savoir (pour ne pas dire information ;-) sur les responsabilités que peuvent assumer les CInformationO, CISO, CRiskO, CTechnologyO...
    > Un beau modèle de répartitions des tâches = stratégiques/tactiques/opérationnelles

    Ces responsabilités varient beaucoup d'une entreprise à l'autre. De plus, la "réalité" des comportements, goûts et compétences personnels de chacune des personnes occupant ces positions fait qu'un modèle, aussi élaboré soit-il, est rarement respecté.
    Et les lenteurs et les incohérences systémiques ont un rôle aussi dans la différence entre le modèle et la réalité. Par exemple : difficultés d'embauche, échéanciers variables des budgets, etc.
    Cette parenthèse pessimiste refermée, je pense qu'il ne peut pas y avoir un seul modèle. Tout d'abord, la ressource humaine est essentielle : peut-on, dans l'entreprise considérée, disposer de 4 cadres (CIO, CISO, CRO, CTO) pour l'informatique ?
    Si oui, peut-on librement les choisir ou doit-on faire avec des personnes déjà présentes, aux habitudes de travail immuables ?
    Enfin, sur le contenu véritable des responsabilités : je découperais ça en processus (un peu dans le genre d'ITIL, bien que je ne les approuve pas tous) qui doivent être assurés. Puis je rassemblerais ces processus par rapport aux personnes/postes dont je dispose.

    ReplyDelete
  3. > Il me semble qu'il y a de la confusion entre information et informatique en anglais... ce qui mèle un peu le monde au complet...
    > depuis 20 ans le CIO est un directeur des technologies de l'information... numérique. Serveurs, ordinateurs, bases de donnnées, fichiers, etc.
    > Mais que fait on de l'information dans la tête des gens, sur papier, etc. et des risques associés.
    > Il me semble que le Chief Information Officer devrait couvrir plus large que les TI (le CISO aussi...)
    Je ne vois qu'une seule réponse à formuler, bien que souvent difficile à mettre en pratique en entreprise, les questions d'information doivent être abordées ensemble, qu'elles soient outillées ou non, et que l'outil paraisse "informatique" ou non. Par exemple, la téléphonie, les imprimantes, le contrôle d'accès aux archives, etc doivent être traités ensemble.

    > Le CISO est parfois malheureusement placé parfois sous le CIO... ce qui limite ses intervention auprès du juridique, des RH, etc.
    Le positionnement du CISO sous le CIO n'est pas toujours une mauvaise chose. Cela permet de simplifier les budgets, la représentation des intérêts "information" auprès des comités et du conseil d'administration. Cela permet aussi de mieux aligner la sécurisation (CISO) avec les objectifs stratégiques de moyen ou long terme (CIO) et les orientations technologiques (CIO/CTO).

    Le problème essentiel qui peut se manifester est la difficulté pour le CISO d'aborder des problématiques qui ne sont pas du périmètre immédiat du CIO et ne lui sont donc d'aucun intérêt visible. Mais ça se résout facilement en expliquant au CIO les intérêts de long terme.

    > Et puis comment fait-on la distinction avec le Chief Technology Officer et le CIO?
    Le CIO prend en charge toute l'information. Il n'est pas optionnel. Le CTO, comme le COO, sont optionnels et peuvent avoir des périmètres variés : "IT seulement" ou "en commun avec plusieurs services" ou "commun à toute l'entreprise".

    > Et finalement le Chief Risk Officer... qui vient lui plutôt du côté des comptables...des chiffres.
    :-D Je ne m'inquiète pas pour les CRO :-)
    A partir du moment où les risques deviennent suffisamment évidents, on définit très vite quelqu'un de responsable qui fabrique des modèles, des estimations et sert quelquefois de fusible. Les chefs d'entreprises savent très bien ce qu'ils dont avec les CRO. ;-)

    > Enfin... les conseils d'administration, the board, doivent être capable de prendre en main la gestion des risques liés à l'information... pas seulement TI. Mais ils sont d'une autre génération... leur rôles et responsabilités vis à vis de l'information et sa gestion dans son ensemble est une brume
    On est d'accord. Les conseils doivent avant tout aider le CIO à coordonner et à budgéter les projets dont le périmètre déborde du service informatique.

    > Dans la norme ISO27005 la petite soeur de 31010 apliquée à la gestion des risques de l'information TI on commence à aborder les biens, ou actifs... pas seulement technologiques.
    > Dans ISO38500... on parle governance/management mais encore TI...
    Pour moi, pas d'ambiguïté, le service informatique doit rendre un service. Ce service nécessite de l'informatique, des outils informatiques, des outils non-informatiques, des personnes, du management, de l'argent, etc. Et le CIO, en tant que responsable de l'ensemble des "services rendus informatiques" doit prendre en charge l'intégralité de ces éléments. Informatiques ou non. Techniques ou non.

    > Qu'en penses tu?
    J'espère avoir apporté un peu d'eau à ton moulin. MP à cpradier@nospam@gmail.com si tu veux continuer.
    Merci par ailleurs pour ta signature, je vais jeter un oeil aux liens.

    ReplyDelete

I can read French, English, German and Romanian, please feel free to write in whichever language you prefer.