Met de voortdurende stroom van nieuwe dreigingen en veranderende wetgeving verandert ook de rol van de Chief Information Security Officer (CISO).
Nieuwe uitdagingen vragen om nieuwe competenties.
Met de voortdurende stroom van nieuwe dreigingen en veranderende wetgeving verandert ook de rol van de Chief Information Security Officer (CISO).
De CISO heeft als taak de informatiebeveiligingsstrategie van zijn organisatie te formuleren en een securiteitorganisatie in te richten. Hij moet zorgdragen voor de implementatie van informatiebeveiligingsmaatregelen in de organisatie en sturing geven aan zowel beleid als uitvoering. In de praktijk is de CISO echter nog vaak uitvoerend bezig met de technische aspecten van cybersecurity. Verder lijken de verantwoordelijkheden van de CISO geen gelijke tred houden met zijn mandaat en budget. Als het misgaat, wordt kritisch naar hem gekeken maar bevoegdheden of middelen om de zaak op orde brengen en preventieve maatregelen door te voeren heeft hij zelden. Zijn rol is vooral een adviserende.
Ook de positie van de CISO varieert sterk per organisatie. In sommige gevallen rapporteert hij aan de CIO, in andere legt hij verantwoording af aan de CFO. Slechts sporadisch valt hij rechtstreeks onder de CEO, wat gegeven het toenemend belang van zijn rol de juiste positie zou moeten zijn. Bij grote inbreuken op bedrijfsdata of -systemen kunnen de gevolgen voor de organisatie enorm zijn en moet snel kunnen worden geschakeld over aspecten die de IT ver overstijgen.
Gelukkig staat informatiebeveiliging in veel boardrooms inmiddels hoog op de agenda. De vele berichten over cybercriminaliteit in de media hebben daar in belangrijke mate aan bijgedragen. Waar cybersecurity voorheen vooral als kostenpost werd beschouwd, zien bestuurders nu in dat kritieke bedrijfsprocessen reëel gevaar lopen als data en systemen onvoldoende zijn beveiligd. Dit betekent dat de rol van de CISO moet worden verbreed van techniek naar de business en zelfs naar wet- en regelgeving op dit terrein. Een van de uitdagingen is dat beveiligingsmaatregelen intern vaak als lastig worden ervaren: “Security loopt onze ambities voor de voeten.” Daar ligt zo’n nieuwe taak voor de CISO. Samen met de business moet hij een balans vinden tussen adequate beveiliging van informatie en voldoende vrijheid voor medewerkers en klanten om te handelen. Hij ontkomt er daarbij niet aan om bepaalde risico’s te accepteren. Zo vergroten ‘bring your own device’, het ‘Internet of Things’ en andere innovatieve technieken het risico op datalekken. Tegelijk bieden ze de organisatie ook belangrijke voordelen. Niemand zal de risico’s ontkennen van social media, clouddiensten en mobiele apparaten waarmee gebruikers toegang krijgen tot bedrijfs- of persoonlijke informatie. Maar het uitsluiten van deze middelen is natuurlijk al lang geen optie meer. Aan de andere kant worden cyberaanvallen steeds geavanceerder en gerichter uitgevoerd. De CISO moet daarom constant worden gevoed met actuele dreigingen en direct in staat zijn de impact ervan in te kunnen schatten op de organisatie. Het inrichten van een goed functionerend ISMS en een incident responsplan is dan ook een van de nieuwe en belangrijkere taken van de CISO.
Het verbredende securitylandschap en de veranderende rol van de CISO binnen de organisatie vergen meer en andere competenties. De CISO zal in staat moeten zijn traditionele IT-focus los te laten en in overleg te treden met de business over cybersecurity. Een kwestie van geven en nemen op basis van begrip voor elkaars doelstellingen. Dat stelt eisen aan de communicatieve vaardigheden van de CISO, zijn empathisch vermogen en zijn stevigheid om beslissingen te durven nemen. Bijgestaan door specifieke deskundigen zal hij constant op de hoogte moeten zijn van de laatste technologische ontwikkelingen en wetgeving om ze vervolgens samen met de business te vertalen naar adequate en geaccepteerde compliance- en beveiligingsmaatregelen. Daarnaast zal hij op basis van een heldere visie en strategisch inzicht het management overtuigend moeten kunnen adviseren over security en zorgdragen voor een goed veiligheidsbewustzijn bij alle medewerkers binnen de organisatie. En natuurlijk schuift hij ook aan bij sectoroverleggen met andere CISO’s. Kortom, de CISO moet een veel breder competentieprofiel hebben dan voorheen omdat er veel meer van hem moet worden verwacht.
De netwerkspecialist/techneut
Deze CISO heeft een opleiding in de techniek of informatica, begon zijn carrière meestal in de IT, om zich later te specialiseren in security. Dit type CISO legt de focus dan ook vaak op de techniek en heeft moeite met het schrijven van strategie- en beleidsnotities. Voor deze CISO is het van groot belang de CISM (Chief Information Security Manager) certificering te behalen om de governance beter te leren begrijpen. In kleine organisaties komt deze CISO goed tot zijn recht, omdat hij ook de mogelijkheid heeft om zelf een helpende hand te bieden.
Jurist/beleidsadviseur
Een groot deel van de CISO’s is doorgegroeid vanuit een rol als jurist of beleidsadviseur. Dit type CISO ligt vaak goed bij het management, communiceert sterk en heeft compliance hoog in het vaandel staan. In tegenstelling tot de technische CISO zal deze meer moeite hebben met de praktijk en de techniek. Behalen van het CISSP- en CEH-certificaat zal uitkomst bieden om digitale dreigingen beter te begrijpen. Voor grote organisaties met een eigen securityafdeling is dit type CISO ideaal.
Politieman/militair
Deze CISO’s zijn hun loopbaan begonnen in de militaire dienst of de rechtshandhaving en hebben hun technische expertise verkregen door middel van ‘learning on-the-job’. Ze komen vooral goed tot hun recht in hiërarchische organisaties. Een valkuil voor deze CISO is dat de focus teveel op de fysieke beveiliging wordt gelegd en de digitale dreigingen te weinig aandacht krijgen.
Welk type CISO het meest geschikt is hangt onder meer af vande grootte en de strategische doelstellingen van de organisatie. Voor de ideale CISO zal een organisatie op zoek moeten naar een echte allrounder met een flinke dosis ervaring en een combinatie van bovenstaande profielen. Hij moet in staat zijn tegengestelde belangen met elkaar te verenigen, waarbij hij de adviezen van verschillende deskundigen en de belangen van het management op hun waarde moet kunnen beoordelen. Vanzelfsprekend hoort bij de grotere verantwoordelijkheid van de CISO ook een groter mandaat om slagvaardig te kunnen optreden als dat nodig is.
Door de snelle technologische, maatschappelijke en juridische ontwikkelingen rond cybersecurity wordt het takenpakket van de CISO steeds breder, complexer en ook belangrijker. Dat vraagt om heel andere competenties. Het is daarom goed om de positie en functie-eisen van de CISO kritisch te evalueren en zo zorg te dragen voor een goede en evenwichtig beveiliging van systemen en data, die past bij de aard van de onderneming, compliant is met wet- en regelgeving en breed gedragen wordt door de business.