Derfor har jeg valgt at skifte jobbet som CISO for LEGO ud med jobbet som CTO for Orange Cyberdefense
Henrik Lei, der for mange er et kendt navn og ansigt fra hans tid som CISO for VELUX og senest LEGO, har for nyligt valgt at flytte arbejdsstolen over på den anden side af bordet, og har takket ja til en stilling som Chief Technology Officer for Orange Cyberdefense. I dette blogindlæg vil Henrik forklare, hvorfor han skifter stilling, og hvorfor hans rolle aldrig har været vigtigere.
Henrik Lei har været øverste ansvarlig for it-sikkerhed hos LEGO igennem et år og tilsvarende hos VELUX i mere end 12 år. Igennem de mange år har han ikke alene set, hvordan it-sikkerhed med et gevaldigt spring er havnet på bestyrelsens agenda, men også hvordan springet har haft både positive og negative konsekvenser.
”Man skal ikke glemme, at det ikke er mange år siden, at it-sikkerhed var noget, ingen havde lyst til at høre om. Det har de voldsomme konsekvenser af ransomware-angreb mm. i den grad fået lavet om på, og det har sendt it-sikkerhed op på øverste niveau i langt de fleste virksomheder. Men jeg ser samtidig en række alvorlige uheldigheder udfolde sig omkring it-sikkerhed, som jeg gerne vil dele med flere end én arbejdsgiver. Og heri ligger også min største motivation for at skifte rolle og komme over i en funktion, hvor min viden og erfaring kan deles med mange i stedet for få,” siger Henrik Lei om årsagen til sit jobskifte.
Henrik er skiftet over til den anden side af bordet og fremadrettet kommer hans jobbeskrivelse til at indeholde to vigtige elementer: At hjælpe Orange Cyberdefenses kunder med at få større værdi ud af deres sikkerhedsløsninger og videreudvikle firmaets rådgiverfunktion.
Vi har spurgt Henrik om hans motivation for sit jobskifte, hvor han ser virksomhedernes største udfordringer med it-sikkerhed ligger, og hvorfor valget faldt på Orange Cyberdefense. Her er hans svar:
Virksomheders største it-sikkerhedsproblem er manglen på de rigtige kompetencer
”Man må ikke glemme at cybersikkerhed i dag er et sammenkædet miks af teknologi, kompetencer og processer, og hvis bare en parameter halter, så går det voldsomt ud over resten. Og det er her, at mange virksomheder går fejl i deres cybersikkerhedsstrategi.”
Kan du forklare dette nærmere?
”Ja. Helt lavpraktisk, så kan cybersikkerhed sættes på en ligning, nemlig:
Cybersikkerhed = teknologi x processer x kompetencer
Her er det vigtigt at holde sig for øje, at der er gangetegn, ikke plustegn mellem elementerne, og det betyder, at er man nede på bare en parameter, så får det en multipliceret effekt på resten.
Fordi cybersikkerhed i den grad er kommet på bestyrelsens agenda, så ser jeg en enorm – og nødvendig – opskalering af indsatsen for at sikre virksomheden. Det betyder, at it-sikkerhedsbudgettet de allerfleste steder er vokset ganske betragteligt. Så langt, så godt.
Problemer er imidlertid, at man går fejl i byen, hvis man tror, at man kan købe sig til en masse teknologi, der skal højne sikkerheden, og så lade det være godt med det. Det er det ikke.
For det første, så vil meget af den indkøbte teknologi give meldinger om eventuelle sikkerhedsbrister. Dem kommer der en del af, for at sige det mildt, og hvis man ikke har ressourcerne til at tage sig af disse meldinger om potentielle sikkerhedsbrister – aka sikkerhedshændelser – så har teknologien jo intet godt gjort for it-sikkerheden. Andet end hvis man synes, at det er et gode at kunne stresse sikkerhedsfolkene.
For du skal også have stærke in house kompetencer, der kan bruge teknologien på den rigtige måde og samtidigt facilitere det vigtige arbejde med virksomhedens sikkerhedskultur. En sikkerhedskultur er meget mere end it-sikkerhedskompetencer. I min optik er det vigtigt, at det er hele virksomheden, der forstår sikkerhedsagendaen og arbejder sammen med sikkerhedsafdelingen. Dét kræver væsentligt mere end en awareness-kampagne et par gange om året. Sikkerhed skal være en fast forankret del af virksomhedens kultur og ikke noget, vi kun husker, når den næste awareness-kampagne ruller af stablen.
Hertil kommer, at det er de færreste virksomheder, der kan dække de meget brede kompetencer, der er nødvendige for at stille det rette forsvar op. I dag skal der hurtigt ti mand til at kunne dække i den bredde, der er nødvendig; GDPR, sikkerhedstræning, compliance, risikovurdering, overvågning og de forskellige tekniske set-ups. Dét kræver meget forskellige kompetencer.
Dét leder mig over til den næste del af ligningen, nemlig processerne.
Her er der tale om virksomhedens interne processer, deres forretning skal understøttes af den rette teknologi, også på sikkerhedsfronten. Og det er på ingen måde altid, at den dyreste og mest avancerede sikkerhedsteknologi er den rigtige at bruge. Det kommer helt an på den enkelte virksomhed, og hvordan de arbejder.
Her skal vi huske, at transformation, skalering og cybersikkerhed går hånd i hånd. De fleste virksomheder står foran en kæmpe transformation, og det kræver, at virksomheden bruger sine ressourcer rigtigt. Heri ligger der to vigtige faktorer:
For det første, så skal forretningen forstå sikkerhed, og omvendt. Det betyder, at der skal være folk på begge sider af bordet, der kan oversætte fra det ene sprog og forståelsesramme til det andet. Vi har allerede set, hvad det har betydet, at it-sikkerhed er noget vi bygger ovenpå eksisterende it-systemer, som et ekstra lag, i stedet for at have det bygget ind fra starten. Denne todeling har vi simpelthen ikke råd til, når en virksomhed både skal transformere og skalere. Sikkerhed skal være med fra starten, som en naturlig del af processerne.
Dernæst skal du bruge dine knappe ressourcer rigtigt: Her er det ofte bedre at udlicitere sin sikkerhed og bruge managed security services, der samtidig kan skaleres i takt med, at virksomheden transformerer. Det er i mine øjne en langt bedre udnyttelse af de til enhver tid dyrebare ressourcer.
Efter min mening, kommer vi ikke til at se en snarlig løsning på den store mangel på inhouse kompetencer. Selvom man havde folk med alle de rette kompetencer ansat, så er det umuligt for én virksomhed at kunne overvåge det aktuelle og konstant skiftende trusselsbillede og opnå den kritiske masse af viden, der skal til for at kunne agere rigtigt. Den bedste overvågning kommer, når man kan samle viden fra mange tusinde virksomheders trusselsbillede. Det er ud fra denne samlede viden, at man kan se, hvordan man skal handle. Og hvordan man handler rigtigt.
Men samtidig er presset fra ledelsen stort, budgettet er forøget, og tilsammen fører det til, at virksomhederne i mange tilfælde køber sig til et teknologifiks. Teknologi, i sig selv, skaber ikke værdi.”
Men når det nu er tilfældet, hvad er så den bedste løsning?
”Det er ikke nødvendigt selv at opfinde den dybe tallerken. For de fleste virksomheder er it ikke en kernekompetence – og it-sikkerhed slet ikke. Hvorfor så prøve at gøre det hele selv?
De fleste virksomheder er bedst tjent med at acceptere, at de ikke selv kan dække hele spektret af cybersikkerhedsligningen og lade være med at tro, at teknologi i sig selv, er svaret.
Min bedste anbefaling er, at man allierer sig med en sikkerhedsleverandør, der både forstår teknologien i dybden, så de kan anbefale netop de løsninger, der passer bedst til den enkelte virksomhed, og som samtidig har adgang til den kritiske masse af viden, der kommer fra overvågning af mange virksomheders trusselsbillede, og har kapacitet til decideret at afværge angreb. Dernæst er man bedst tjent med en leverandør, der også forstår sig på de interne processer i en virksomhed.
Selvom den enkelte virksomhed kunne få cybersikkerhed = teknologi x processer x kompetencer ligningen til at gå ordentligt op (et nul bringer stadig hele affæren til et stort rungende nul), så vil de aldrig kunne opnå den nødvendige kritiske masse af viden alene. Man er simpelthen nødt til at kunne høste erfaring fra andre virksomheder.”
Er det dét, Orange Cyberdefense kan?
”Ja, det er det. Og der er selvfølgelig andre, der kan noget tilsvarende. Men nu kender jeg SecureLink og Orange Cyberdefense i dybden og ved, hvad de står for.”
Det fører os over til dit jobskifte. Hvorfor vil du gerne være en del af Orange Cyberdefense?
”Som kunde hos SecureLink igennem mere end 10 år har jeg altid følt, at jeg var i gode hænder. Når SecureLink har anbefalet produkter og løsninger, så ved jeg, at de er blevet vurderet grundigt og fundet tunge nok. Det er en virksomhed, hvor jeg føler, at der er hold i påstanden om, at man går efter den ”rigtige” løsning for sine kunder, og jeg har altid fået ærlig og relevant rådgivning.
Dét jeg virkelig havde stor nytte af, var kombinationen af lokal rådgivning baseret på massiv global overvågning. Lærdom fra de andre store virksomheder var enormt vigtig for mig som CISO for LEGO og VELUX.
Men uden den lokale nordiske pakketering, altså deres forståelse og indsigt i lokale forhold og hvad der rent faktisk rammer danske virksomheder, ville det ikke have haft nogen værdi. Det er utrolig vigtigt, at den kulturelle forståelse er intakt, og at samarbejdet med virksomhedens egne IT-folk fungerer og er baseret på tillid og respekt. Det er svært, hvis afstanden er for stor, både fysisk og mentalt.
It-kriminelle arbejder på global skala, landegrænser eksisterer ikke. Globaliseringen tager fart, og virksomheder opererer i stigende grad på tværs af grænser. Derfor skal et ordentligt forsvar bygges på global viden og analyser, men det skal samtidigt tilpasses lokalt.
SecureLink i Norden har været førende inden for managed services i lang tid, og de kan meget mere, end de umiddelbart forestiller sig. På managed services-fronten er de bedre end gennemsnittet. De er meget mere end gode teknikere og er rigtig gode til at hjælpe deres kunder med det bedste end-to-end-flow.
Da SecureLink blev en del af Orange Cyberdefense og hermed fik udvidet deres globale overvågningsmuskel ganske markant, kunne jeg godt se, at mine kompetencer og viden fra arbejdet med store globale virksomheders it-sikkerhed, ville være et godt supplement. Det ville jeg gerne være en del af.”
Til sidst vil vi gerne give ordet til Mårten Toll-Söderblom, vores Country Manager:
Hvad er Orange Cyberdefenses bevæggrunde for at hyre Henrik Lei?
”Med Henrik får vi en virkelig kapacitet ombord. Han kommer til at bidrage til vores eksisterende kompetencer på produkt- og managed service-siden med sin store viden om, hvordan virksomheder får optimeret netop deres it-sikkerhedsmæssige kombination af teknologi, processer og inhouse kompetencer. Vi har altid været drevet af at levere den dybe teknologisk viden, der skal til for at sikre vores kunders lokale og globale cybersikkerhed. Men sammen med Henrik kan vi få vi flere vigtige perspektiver i spil og kan fokusere endnu mere på rådgivningsdelen. Vi har egentlig gjort det længe, men med Henrik er det nu formaliseret og sat i system – så vi kan give vores kunder endnu større værdi.”