Print:

Drie ontwikkelingen uit 2018 waarmee de CISO ook in 2019 te maken krijgt

Redactie IIR , Trainingen & Conferenties

LinkedIn profiel

Was 2018 het jaar waarin de Europese privacywet alle aandacht opeiste, het risico van datalekken een toppunt bereikte, of blockchain een doorbraak doormaakte? Er is in het afgelopen jaar in ieder geval veel op CISO’s afgekomen. Drie issues om bij stil te staan en ook in 2019 op de agenda te zetten.

CISO als strategisch business partner | IIR

 

Cyberaanvallen en datalekken staan in 2018 bovenaan de lijst met risico’s die bestuurders het meeste zorgen baren. Dat blijkt uit het onderzoek “Directors’ liability” dat Allen & Overy en Willis Towers Watson in november publiceerden. Ruim de helft van de ondervraagden heeft in het afgelopen jaar te maken gehad met een cyberincident. In 2017 was dit nog minder dan een derde.

De zorgen over cyberaanvallen en datalekken zijn niet nieuw, maar komen wel in rap tempo bovenaan de agenda van bestuurders te staan, zegt Joanna Page van Allen & Overy. Volgens Francis Kean, Executive Director van Willis Towers Watson, heeft de komst van de Algemene verordening gegevensbescherming (AVG) “een extra laag van complexiteit toegevoegd aan de toch al uitdagende cyberomgeving.”

De implementatie van de AVG is een van de vele uitdagingen waarmee Chief Information Security Officers (CISO’s) in 2018 te maken hebben gekregen. Drie andere issues uit het afgelopen jaar – die ook in 2019 actueel beloven te blijven.

1. Juridische ontwikkelingen

De CISO is van oudsher vooral bezig met technische aspecten van cybersecurity en informatiebeveiliging. Maar het is belangrijk om ook oog te hebben voor thema’s als privacy en criminaliteit, zegt Christian Prickaerts, Director Managed Services bij Fox-IT en gastdocent van de leergang IT-jurist van IIR. Dat betekent dat CISO’s ook een stevige kennis van wet- en regelgeving nodig hebben. “Ik ben geen jurist, maar weet uit de praktijk van cybersecurity dat zich situaties kunnen voordoen waar juridisch spannende zaken spelen. Denk aan vrijwaringen, contracten en overeenkomsten die relevant zijn als een organisatie geconfronteerd wordt met een datalek.”

De noodzaak van juridische kennis is voor CISO’s des te urgenter nu er in hoog tempo relevante wet- en regelgeving wordt ontwikkeld. Zo is in november de Wet Beveiliging Netwerk- en Informatiesystemen gekomen. Ook van recente datum is de Wet Computercriminaliteit III, die onder meer zaken over IT-kwetsbaarheden aanstipt. Daarnaast zijn er internationale ontwikkelingen die om aandacht vragen. Bijvoorbeeld de Amerikaanse Cloud Act uit 2018 doorkruist op onderdelen de AVG. Voor overheidsinstanties is bovendien de komst van de Baseline Informatiebeveiliging Overheid (BIO) belangrijk. Onderdeel van deze richtlijn, die waarschijnlijk vanaf 2020 geldt, is de Quickscan Information Security (QIS) die helpt om het basisbeveiligingsniveau van de organisatie te bepalen.

Tegelijkertijd staan CISO’s voor de uitdaging om ontwikkelingen in wet- en regelgeving, normenkaders en ISO-standaarden op de juiste waarde te schatten. Prickaerts: “Zelfs bij organisaties die voldoen aan het normenkader, kunnen nog risico’s bestaan. Standaarden fungeren namelijk vooral als baseline: een ISO-normering geeft aan dat je een bepaalde inspanning hebt verricht om te bepalen wat het adequate veiligheidsniveau is. Maar compliant zijn betekent niet noodzakelijkerwijs dat het ook veilig is.”

2. Het belang van een goede voorbereiding

“Als het nooit brandt, vragen mensen zich af waarom we zoveel brandweerauto’s en blusmateriaal nodig hebben. Maar áls er dan brand uitbreekt, verwacht iedereen wel dat je er staat en weet hoe je de brand moet blussen.” Dat zei Rence Damming, Chief Information Security & Privacy Officer bij PON en gastdocent bij de opleiding Certified Data Protection Officer (CDPO), eerder dit jaar.

Mede vanwege de meldplicht datalekken is een goede voorbereiding op een cyberincident een topprioriteit geworden. “Het gaat zéker een keer fout – dat is geen verwijt, maar een wetmatigheid. Daarom is het essentieel dat een organisatie een goed doordachte strategie – en een praktisch plan – heeft voor incidentresponse”, zegt Brenno de Winter, beveiligingsonderzoeker en hoofddocent van de IIR-training Cyber Incident Response Management. “Je wilt het wiel niet gaan uitvinden als je onder hoogspanning staat.”

CISO’s hebben in het cyber incident response management een sleutelrol: zij kunnen als geen ander een incidentresponseplan ontwikkelen en inbedden in de organisatie. Bovendien staan CISO’s – samen met collega’s zoals IT-juristen, data protection officers en security officers – na een incident in de frontlinie om onder grote druk de crisis beheersbaar maken en de normale situatie herstellen. Nu er bij consumenten én toezichthouders steeds meer aandacht is voor het risico van datalekken wordt de opgave van cyber incident response management actueler dan ooit.

3. Slimme samenwerking

Het toenemende belang van informatiebeveiliging voor organisaties plaatst de CISO in een nieuwe rol. De CISO nieuwe stijl opereert op operationeel, strategisch én tactisch niveau en is een volwaardig gesprekspartner binnen allerlei afdelingen en niveaus van de organisatie.  Dat betekent ook dat de samenwerking met andere disciplines essentieel is. “Toen ik bij KPN Chief Privacy Officer was, zaten een psycholoog, een jurist en een techneut in mijn team. Verschillende competenties die elkaar mooi aanvulden. Een goede CISO is een schaap met minimaal zeven poten,” aldus Rence Damming.

Als CISO voorbereid zijn op alle uitdagingen van 2019? Volg dan de driedaagse praktijkcursus CISO als strategisch business partner.

Meer informatie?

Laat uw e-mail achter en ontvang de brochure direct in uw mailbox.