The Chief Information Security Officer and the Five Dimensions of a Strategist

The modern organisation operates within a sophisticated and evolving security threat landscape that exposes its information infrastructure to a range of security risks. Unsurprisingly, despite the existence of industry ‘best-practice’ security standards and unprecedented levels of investment in security technology, the rate of incidents continues to escalate. Furthermore, a review of security literature reveals an apparent lack of strategic perspective in the field of information security management (ISM) which results in a number of strategic challenges for ISM function in organisations. The level of sophistication and dynamism of threat requires organisations to develop novel security strategies that draw on creative and lateral thinking approaches. Such a security campaign requires the Chief Information Security Officer (CISO) to function as a ‘strategist’. However, there is little or no evidence in security literature to show that the security leader is required to function as a strategist. In this research, we set out to identify the specific competencies required by CISOs to become effective strategists by performing a systematic literature review of both security and strategic management literature. We thematically analysed and coded the characteristics extracted from strategic management literature into the five dimensions of the strategist. We discuss these macro competencies in the context of ISM, and argue that CISOs with these five dimensions of a strategist will be able to overcome the existing strategic challenges facing ISM in organisations

The CISO Role: a Mediator between Cybersecurity and Top Management

As organizations increasingly rely on digital solutions, they also become more exposed to cybersecurity threats. Thus, cybersecurity is becoming a strategic concern for the organizations rather than merely a technological issue. However, many organizations are still not sufficiently aware of the cybersecurity risks and their mitigation. This article studies how to engage the top management more in cybersecurity in order to mitigate the risk of cybersecurity threats. In particular, we focus on the role of the Chief Information Security Officer (CISO) as part of the organization’s cybersecurity strategy. We conducted qualitative interviews with nine cybersecurity professionals, including four CISOs, two CEOs, one information security leader and two information security ex-perts. Our study shows that the CISO role is acknowledged as important for facilitating communication between the technical staff and the top management, and for making top management understand the importance of their involvement in cybersecurity. In this sense, the CISO may serve the role as a mediator related to security aspects of the organization. Further, our findings support previous research on the importance for top management to engage actively in cybersecurity matters, including operational risk management, identifying critical assets and data, and defining necessary cybersecurity controls (physical, technical and administrative)

Distinction entre la compréhension partagée et la conscience situationnelle d'équipe : une revue systématique de littérature

L’assimilation correcte de la compréhension partagée (CP) et la conscience situationnelle d’équipe (CSÉ) est fondamentale au sein des environnements organisationnels. Étant donné leur importance, ces deux notions sont largement abordées dans la littérature. Plusieurs travaux étudient la CSÉ et la CP en profondeur, car elles sont considérées comme des piliers dans le processus de prise de décision. Cependant, il existe un manque de synthèse sur l’évolution de ces notions, ce qui les rend difficiles à cerner et à mettre en oeuvre ou même à développer davantage. Aussi, très peu de ces études ont réfléchi aux différences entre la CP et la CSÉ, ce qui pose la question du choix de l’utilisation pertinente de l’une ou l’autre pour traiter une situation de prise de décision donnée. Ainsi cette étude réalise une revue de littérature systématique pour retracer l’évolution au fil du temps des notions de compréhension partagée et de conscience situationnelle d’équipe et pour montrer notamment en quoi elles se ressemblent et en quoi elles diffèrent. En premier lieu, les principaux auteurs qui ont contribué à l’évolution des deux notions séparément ont été déterminés et leurs principales contributions ont été présentées. Puis une comparaison de la CP et de la CSÉ a été réalisée à travers le croisement des différentes définitions des deux blocs. Ce croisement a eu lieu grâce à l’utilisation des éléments récurrents relevés pendant l’analyse exhaustive qui peut être perçue à l’annexe. La synthèse qui en résulte fournit aux lecteurs une vision sur les points d’accord et de discorde existant dans la littérature concernant la CSÉ et la CP. Ainsi, d’une part, cette recherche vise à combler le manque de littérature qui concerne le schema d’évolution de la CP et la CSÉ et en tire profondément sa pertinence. Et d’autre part, les divergences et similitudes identifiées apportent une valeur ajoutée pour les chercheurs en exposant des pistes de recherche future qui méritent d'être explorées