In veel organisaties is de Chief Information Security Officer een eenling met een ingewikkelde missie. Hij of zij moet securityrisico's zichtbaar maken en beheersbaar houden — vaak zonder formeel mandaat, zonder directe toegang tot de top en met beperkte middelen. Het echte werk van een CISO speelt zich af op het grensvlak van business en IT. Wie de 'zachte' kant niet beheerst, loopt vast — hoe deskundig de risicoanalyses ook zijn.
Information Security Management staat of valt bij de mate van aansluiting en draagvlak die de 'information security verantwoordelijke' weet te vinden bij de business. De CISO opereert op het grensvlak van techniek en business en dat is in de praktijk niet altijd eenvoudig. Om succesvol te zijn moet de CISO zich soepel kunnen bewegen in de wereld van de business; de business begrijpen, de taal spreken en security kunnen verkopen.
