Hansen beschreibt den Kern der CISO-Rolle gegenüber Dark Reading schlicht: Ein CISO solle mit den vorhandenen Budget- und Technikgrenzen das Maximum an Sicherheit für das Unternehmen herausholen. In der Praxis sehe er jedoch, gestützt auf anekdotische Hinweise, Fälle, in denen Beschaffungen nicht diesem Ziel dienten. Er spricht von Produkten, die nie eingeführt würden, oder von Ausgaben, die sogar den Sicherheitsinteressen des Unternehmens entgegenliefen.
Als theoretische Erklärung nennt Hansen Kickbacks und andere verdeckte Vorteile. Dabei gehe es nicht nur um Geld. Auch exklusive Einladungen, spätere Positionen, Beteiligungen oder Konstruktionen über Ehepartner und Nebenprojekte könnten aus seiner Sicht problematisch sein. Sein erster Grundsatz lautet deshalb, dass CISOs den bereits bestehenden NDA-, Ethik- und Arbeitsvertragsregeln ihres Unternehmens ausdrücklich folgen und dies auch gesondert bestätigen sollten.
Gerade dieser Punkt wirke zwar banal, sei für ihn aber zentral. In Arbeitsverträgen sei häufig bereits geregelt, dass Geschenke offengelegt oder gar nicht angenommen werden dürfen. Hansen argumentiert jedoch, dass nicht jede Form einer Gegenleistung als klassisches Geschenk erkennbar sei. Als Beispiel nennt er etwa einen Vertrag für den Ehepartner, der faktisch nie erfüllt werden müsse. Solche Konstellationen müssten nach seiner Vorstellung gegenüber Vorgesetzten offengelegt werden.
Darauf aufbauend fordert Hansen umfassende Transparenz bei jeder Form von Vergütung oder Vorteil. Nach seinem Vorschlag sollen CISOs ihrem Arbeitgeber jede Vergütung, Beteiligung, Barzahlung, Zusage für spätere Positionen, Geschenke jeder Größe sowie jede andere Form eines Kickbacks melden. Das schließe auch Beratungsverträge, Zahlungen an Ehepartner und sonstige indirekte Vorteile ein. Wenn die Unternehmensleitung den Vorgang kenne und keinen Konflikt sehe, sei das aus seiner Sicht zulässig.
Ähnlich argumentiert er bei Nebentätigkeiten. Viele CISOs betrieben nach seinen Worten Beratungsfirmen. Auch hier beruft er sich auf anekdotische Hinweise, wonach solche Konstruktionen für verdeckte No-Show-Kickbacks genutzt würden. Daher sollten Kunden und Art der Beratungsvereinbarungen gegenüber dem Arbeitgeber transparent sein. Vertrauliche Details müssten nicht offengelegt werden, wohl aber der Umstand, dass etwa ein gerade evaluierter Anbieter gleichzeitig Kunde der eigenen Beratung sei.
Bei den Summen spricht Hansen von stark variierenden Größenordnungen. Er habe von Beträgen im unteren Millionenbereich gehört, viele Fälle lägen aber auch nur bei einigen Zehntausend Dollar. Über die Laufzeit eines typischen CISO-Mandats von etwa 18 Monaten könne sich das dennoch auf einige Hunderttausend Dollar summieren. Zugleich betont er, dass er in den meisten Fällen nicht selbst im Raum gewesen sei.
Ein weiterer Baustein seines Kodex betrifft Befangenheit bei Beschaffungsentscheidungen. Wo Interessenkonflikte unvermeidbar seien, solle sich der CISO aus Produktbewertungen heraushalten. Wer persönlich in einen Anbieter investiert habe oder in dessen Gremium sitze, müsse sich aus der betreffenden Evaluation zurückziehen. Die Entscheidung solle dann an andere Mitarbeiter oder etwa den CFO delegiert werden. Zusätzlich schlägt Hansen vor, dass jede Beschaffung von einer weiteren Instanz auf mögliche Konflikte geprüft wird, die im Zweifel auch ein Veto einlegen kann.
Auch die Auswahl von Produkten selbst will Hansen enger fassen: Anbieter sollten nach Wirksamkeit, Preis, Kompatibilität und Nutzen für das Unternehmen bewertet und entsprechend dokumentiert werden. Er verweist auf Fälle, in denen Produkte angeblich trotz bekannter technischer Untauglichkeit ausgewählt worden seien. Wenn sich eine Lösung nicht einmal in der Umgebung des Unternehmens installieren lasse und dies vorher bekannt gewesen sei, sei das aus seiner Sicht nur schwer anders zu erklären.
Am schärfsten fällt Hansens letzter Punkt aus. Aus Gründen der nationalen Sicherheit sollten CISOs keine Berater von Sicherheitsunternehmen werden, die nicht im selben Land wie ihr Arbeitgeber ansässig sind. Genau dieser Vorschlag habe den größten Widerstand ausgelöst. Kritiker hätten argumentiert, dass damit der Zugang zu guten Produkten aus anderen Regionen beschnitten werde. Hansen hält dagegen, dass Unternehmenssicherheit geopolitische Folgen haben könne und private Firmen Teil dieses Spannungsfelds seien. Als Beispiel für seine Skepsis verweist er unter anderem auf Kaspersky sowie auf ein eigenes Erlebnis mit der Suchmaschinenfirma Blekko, die zumindest teilweise von Yandex übernommen worden sei. Er habe dort nicht mitwirken wollen, weil ihm der Datenfluss in Richtung Yandex problematisch erschienen sei.
Rückblickend sagt Hansen, gerade dieser letzte Punkt habe ihm gezeigt, dass die Branche für ein solches Vorhaben aus seiner Sicht nicht bereit sei. Ohne diese Forderung würden wohl viele den Kodex unterschreiben, meint er. Für ihn wäre das aber nur eine halbe Lösung, weil ausgerechnet der umstrittenste Punkt womöglich der wichtigste sei.