Print:

Dit staat de CISO van de toekomst te wachten

Technologische innovaties, nieuwe wet- en regelgeving, veranderende verwachtingen over risicomanagement – de ontwikkelingen die van invloed zijn op het werkterrein van Chief Information Security Officers (CISO’s) zijn dynamisch en divers. Dat creëert allerlei nieuwe uitdagingen. Wat moeten CISO’s weten over de actuele trends en toekomstige risico’s – en hoe kunnen zij straks het verschil maken?

Datalekken en cyberaanvallen staan bovenaan de lijst met risico’s die bestuurders het meeste zorgen baren. Dat blijkt uit onderzoek van het internationale advocatenkantoor Allen & Overy en het consultancybureau Willis Towers Watson. Op de vraag welke (aansprakelijkheids)risico’s het meest zorgwekkend zijn voor de continuïteit van de organisatie noemt ruim de helft van de ondervraagde directeuren datalekken. Ook cyberaanvallen scoren hoog: 50 procent van de ondervraagden beschouwt dit als een groot tot zeer groot risico.

De zorgen over cyberaanvallen en datalekken zijn niet nieuw, maar komen wel in rap tempo bovenaan de agenda van bestuurders te staan, zegt Joanna Page van Allen & Overy. Dat zou te maken kunnen hebben met de ervaringen die organisaties inmiddels met de problematiek opdoen. Ruim de helft van de ondervraagde directeuren zegt in 2018 te maken hebben gehad met een cyberincident. In 2017 was dit nog minder dan een derde. De komst van de General Data Protection Regulation (GDPR) in Europa heeft het bewustzijn van risico’s rond gegevensbescherming extra aangewakkerd.

Jan Willem Schoemaker | IIR“De CISO is verantwoordelijk voor het gehele proces van informatiebeveiliging in de organisatie en heeft daarom een sleutelrol in de omgang met cyberrisico’s”, zegt Jan Willem Schoemaker, CISO en Business Continuity Manager bij het Erasmus MC en gastdocent van de IIR-praktijkcursus Security voor privacy professionals, over de positie van de CISO nu. “De CISO is de spin in het web die de processen voor informatiebeveiliging coördineert en het Information Security Management Systeem beheert om ervoor te zorgen dat er een Plan Do Check Act-cyclus wordt gevolgd om de risico’s te verminderen en beheersen.”

De uitdagingen voor de CISO’s van nu en straks

Het speelveld waarbinnen CISO’s opereren verandert voortdurend. De uiteenlopende ontwikkelingen roepen verschillende nieuwe issues en uitdagingen op.

Technologische ontwikkelingen

Vroeger lag de focus van het werk van CISO’s op de beschikbaarheid, integriteit en vertrouwelijkheid van informatie – en de administratieve processen en systemen waarvan de data een onderdeel zijn. “Nu willen steeds meer organisaties met de digitale transformatie aan de slag en komt de nadruk meer op technologie te liggen”, signaleert Schoemaker. “Met de opmars van onder meer het Internet of Things, kunstmatige intelligentie (AI) en big data wordt digitale technologie een integraal onderdeel van de organisatie. Dat stelt CISO’s voor nieuwe uitdagingen om risico’s in te schatten, over maatregelen te adviseren en het gehele proces van informatiebeveiliging goed te regelen.”

De toenemende uitbesteding van IT-diensten en -producten creëert ook nieuwe opgaven voor de CISO, zegt Schoemaker. “De CISO moet de regie voeren op alle partijen die IT-diensten verzorgen, ook als dat externe partijen zijn. Maar IT-functionaliteiten die niet (meer) in huis zijn belegd zijn extra moeilijk om te monitoren en controleren. Wat gebeurt er precies en welke risico’s spelen er, voor informatiebeveiliging en de business continuity? Die vragen zijn lastig vanaf een afstand te beoordelen. Ook het toezicht op naleving van regels door IT-leveranciers kan ingewikkeld zijn, omdat de CISO minder zicht heeft op de werkprocessen en minder directe invloed kan uitoefenen op de aanwezige beveiligingsmaatregelen.”

Juridische ontwikkelingen

Naast de veranderende technische aspecten van informatiebeveiliging vragen ook de ontwikkelingen in de wet- en regelgeving om aandacht. Zo is vorig jaar de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni) ingevoerd. Ook van recente datum is de Wet Computercriminaliteit III, die onder meer zaken over IT-kwetsbaarheden aanstipt. Voor overheidsinstanties is bovendien de komst van de Baseline Informatiebeveiliging Overheid (BIO) belangrijk.

CISO’s staan voor de uitdaging om ontwikkelingen in wet- en regelgeving, normenkaders en ISO-standaarden op de juiste waarde te schatten. Compliance betekent namelijk niet automatisch dat de securityrisico’s voldoende zijn afgedekt, waarschuwde Christian Prickaerts van Fox-IT recent in een interview. De juridische vereisten geven vooral een minimumniveau aan, en normenkaders verwijzen eerder naar de inspanningen die zijn verricht om risico’s te managen dan naar de feitelijke resultaten.

Voorbereiding op incidenten

Mede vanwege de meldplicht datalekken, die sinds 2016 in Nederland van kracht is, is een goede voorbereiding op een cyberincident een topprioriteit geworden. Daarom is het essentieel dat een organisatie een goed doordachte strategie – en een praktisch plan – heeft voor incidentresponse. CISO’s hebben in het cyber incident response management een sleutelrol: zij kunnen als geen ander een incidentresponseplan ontwikkelen en inbedden in de organisatie.

Bovendien staan CISO’s – samen met collega’s zoals IT-juristen, data protection officers, IT-specialisten en security officers – na een incident in de frontlinie om onder grote druk de crisis beheersbaar maken en de normale situatie herstellen. Nu er bij consumenten én toezichthouders steeds meer aandacht is voor het risico van datalekken wordt de opgave van cyber incident response management actueler dan ooit.

Multidisciplinaire perspectieven

Het toenemende belang van ICT en informatiebeveiliging voor organisaties plaatst de CISO in een nieuwe positie. De CISO nieuwe stijl opereert op operationeel, tactisch én strategisch niveau en is een volwaardig gesprekspartner binnen alle afdelingen en niveaus van de organisatie. “CISO’s zijn vaak sterk technisch georiënteerd, terwijl informatiebeveiliging in feite een organisatievraagstuk is dat om een integrale aanpak vraagt”, zegt Theo Quist, CISO en privacy officer bij de gemeente Heerhugowaard en gemeente Langedijk.

Met de komst van de BIO komt binnen de lokale overheid steeds meer nadruk op een risicogerichte aanpak van informatiebeveiliging. Maar ook in andere sectoren staat risicomanagement steeds hoger op de agenda – en moet de CISO dus oog hebben voor een scala aan issues en oplossingen, zegt Quist. “CISO’s moeten samen met de business risico’s inschatten en vervolgens de directie en het bestuur in staat stellen om beslissingen te nemen over het beheersen en accepteren van risico’s. Er is steeds meer aandacht nodig voor business continuity management in de breedste zin van het woord.” 

Interne samenwerking

Paul-Oor IIREen multidisciplinaire benadering van de CISO-rol betekent onder andere dat de samenwerking met verschillende afdelingen, teams en collega’s alsmaar belangrijker wordt. Paul Oor, Chief Security Officer van IT-dienstverlener Conclusion: “Risk appetite is prima, maar sommige risico’s wil je als organisatie echt niet nemen. Dan moet de CISO goed en inhoudelijk gemotiveerd aangeven hoe een gewenste ontwikkeling wel mogelijk is. Daarvoor heb je specialistische expertise nodig. Naast het externe netwerk is daarom het interne netwerk heel belangrijk: je moet weten op wiens oordeel je kunt vertrouwen zodat je op basis daarvan de juiste besluiten kunt nemen.”

Oor ziet vooral collega’s die actief zijn op terreinen zoals facility management, screening van personeel en bedrijfshulpverlening (BVH) als bondgenoten voor de CISO. “Dat gaat om hele concrete zaken. BHV’ers moeten bijvoorbeeld in alle ruimtes kunnen komen om in een noodsituatie te kunnen optreden, ook in extra beveiligde ruimtes. Dan moet je als CISO wel goed regelen hoe dat gebeurt.” Voor Quist is ook samenwerking met de concern controller, juristen en de Functionaris voor de Gegevensbescherming (FG) vanzelfsprekend. “In feite beheersen we gezamenlijk een aantal organisatiebrede risico’s maar willen we tegelijkertijd de bedrijfsvoering zo min mogelijk in de weg zitten. Daarom is het belangrijk om zo veel mogelijk samen op te trekken, bijvoorbeeld bij adviestrajecten en verantwoording.”

De positionering van de CISO

De positionering van de CISO binnen de organisatie is een veelbesproken thema. Is de CISO onderdeel van het managementteam, of lid van een van de teams die met IT, compliance en security bezig zijn? Volgens onderzoek van Kaspersky Lab is slechts 26 procent van de ondervraagde CISO’s lid van de raad van bestuur.

Volgens Jan Willem Schoemaker van het Erasmus MC hoeven CISO’s niet noodzakelijkerwijs in het management te zijn vertegenwoordigd. “Maar de CISO moet de hoogste leiding wel kunnen informeren en bevragen. Een van de grootste uitdagingen voor CISO’s is om een volwaardige business partner te zijn. Wie bepaalt de omvang van het risico, wie is er eigenaar van, wat vindt het management daarvan en hoe vinden we een goed evenwicht tussen informatiebeveiliging en de doelstellingen en werkprocessen van de organisatie?”

Theo Quist van de gemeente Heerhugowaard en gemeente Langedijk benadrukt dat de CISO ook als een schakel tussen de werkvloer en het management fungeert. “Het is belangrijk dat CISO’s regelmatig met de directie en het bestuur aan tafel zitten, maar ook voeling houden met de werkvloer. Het gaat er uiteindelijk om dat op alle niveaus het belang van informatiebeveiliging wordt ervaren en erkend.”

Kennisontwikkeling

Omdat het werkterrein zo divers is geworden, wordt van CISO’s verwacht dat ze van veel verschillende zaken verstand hebben. “Je moet een brede blik hebben en heel veel schakelen”, zegt Oor. “Als Chief Security Officer heb ik met zo’n beetje met alles in de organisatie te maken – van de techniek tot de mensen. Ik weet niet over alles even veel, maar ik heb wel belangstelling voor alle terreinen die relevant zijn voor veiligheid en informatiebeveiliging en probeer me steeds te verplaatsen in het perspectief van collega’s.”

Het is belangrijk om een breed scala aan actuele ontwikkelingen binnen de organisatie en in de samenleving in de gaten te houden, zegt Oor. “Je kunt natuurlijk niet alles bijhouden, maar je moet de ontwikkelingen wel goed volgen zodat je voldoende weet wat er gebeurt.” Schoemaker vult aan: “Je moet voorkomen dat je als CISO te hoog in toren komt te zitten. Als je te ver afstaat van de werkvloer, vertellen collega’s je niet genoeg over wat er speelt en heb je dus onvoldoende zicht op wat de dagelijkse problemen zijn.” 

De kennis en vaardigheden van de CISO’s van nu en straks

Wat betekenen de ontwikkelingen en uitdagingen op hun werkterrein voor de taken, verantwoordelijkheden en competenties van CISO’s? Uit een handreiking van de Informatiebeveiligingsdienst (IBD) van de Vereniging van Nederlandse Gemeenten (VNG) is al duidelijk dat er veel van CISO’s wordt verwacht. De handreiking onderscheidt vier resultaatgebieden, namelijk Beleid & Coördinatie, Controle & Registratie, Communicatie & Voorlichting en Advies & Rapportage. Dit betekent dat CISO’s in staat zijn om beleid op te stellen, uit te voeren, te toetsen en te controleren. Daarnaast is van belang dat CISO’s over het beleid communiceren met de organisatie. Hierbij gaat het om (ongevraagd) advies, maar ook om voorlichting en rapportage.

Hoe kunnen CISO’s deze opgaven het hoofd bieden? Experts zien de volgende aandachtspunten en competenties.


Vakinhoudelijke kennis

“In het licht van de digitale transformatie die organisaties nu doormaken is actuele vakinhoudelijke kennis dan ook essentieel”, zegt Schoemaker. “Wat doet technologie zoals AI precies, waar zitten de risico’s voor informatiebeveiliging en dataprotectie? De CISO hoeft niet alle details te kennen, maar moet wel hoofdlijnen op de hoogte zijn van de technologische ontwikkelingen om te zorgen dat risico’s binnen de organisatie goed geborgd en gedekt zijn.”

De CISO heeft ook een taak om de vakinhoudelijke kennis intern te organiseren, vult Quist aan. “De CISO moet in essentie zorgen dat de organisatie toegang heeft tot alle specialistische kennis die nodig is om de risico’s te managen. Dat kan ook door de expertise bij collega’s te beleggen, of door specialismen in te huren.”

Managementvaardigheden

De CISO is van vele markten thuis maar zit niet in de uitvoering. De CISO van de toekomst moet zich daarom vooral richten op de ontwikkeling van managementvaardigheden, zegt Quist. “De CISO moet onder andere de middelen en budgetten voor informatiebeveiliging organiseren en het management adviseren. Daarmee krijgt de CISO steeds meer de rol van programmamanager en risicomanager: de centrale taak wordt om werkzaamheden op het vlak van informatiebeveiliging te coördineren en daarover te adviseren. De managementcapaciteiten van CISO’s worden daarom minstens zo belangrijk als de inhoudelijke expertise.”

Soft skills

De CISO van de toekomst is de business partner voor het management en de sparring partner voor collega’s en externe partijen die verantwoordelijk zijn voor de uitvoering van de informatiebeveiliging en IT. Dat stelt hoge eisen aan de communicatieve vaardigheden van de CISO. “De CISO moet de taal spreken van het bestuur en de directie én van de business. Dat is noodzakelijk om overtuigend te kunnen adviseren en actief te kunnen meedenken over oplossingen,” zegt Quist.

Schoemaker licht toe: “De CISO moet weten wat er speelt en tijdig aan tafel zitten met projectleiders om proactief mee te denken over nieuwe plannen, projecten en processen in de organisatie. Daar hoort ook bij dat de CISO de verantwoordelijkheden belegt waar ze thuishoren. Beveiliging kan soms lastig zijn – de CISO moet dan met de business kunnen meebewegen, maar zo nodig ook de rug recht houden.”

Mensenkennis

De focus op technische oplossingen voor security verschuift steeds meer naar aandacht voor de menselijke factor. Dat betekent ook dat voor de CISO de mensenkant van het vak belangrijker wordt. Oor: “Met techniek kunnen we veel oplossen, maar de grootste risico’s zitten meestal bij wat mensen doen – of juist nalaten. Hoewel IT, HR en facility management hier ook mee bezig zijn, ligt er zeker een rol voor de CISO.” Oor noemt als voorbeelden de omgang met mobiele apparatuur, het gedrag op werkplekken, de inrichting van kantoren en toegangsbeheer.

Voor gemeenten wordt de informatiebeveiliging bij burgers en ondernemers steeds meer een onderdeel van het integrale veiligheidsbeleid, vertelt Quist. “Het voorkomen van cybercrime in de publieke sfeer heeft een hoge prioriteit. Van CISO’s wordt verwacht dat zij hieraan een bijdrage leveren en de betrokkenen deskundig adviseren. Dat vraagt om kennis over preventieve maatregelen die mensen relatief simpel kunnen nemen.”

Digitale en fysieke beveiliging

Traditioneel legt beveiliging de focus op fysieke óf digitale beveiliging, signaleert het recente Capgemini-rapport Trends in Veiligheid. Zo heeft de beveiliging van belangrijke personen veel meer aandacht gekregen vanuit het veld van fysieke beveiliging en is er veel minder aandacht voor binnen de digitale beveiliging. De Chief Security Officer of CISO vervult volgens Capgemini een spilfunctie in het samenbrengen van fysieke en digitale beveiliging: door de positionering aan de top – en de expertise op terreinen zoals IT, compliance, dataprotectie en security – kan de CISO als geen ander de integratie van fysieke en digitale aanpakken tot stand brengen.

Quist herkent de schakelfunctie van de CISO. “Het gaat erom tijdig te worden betrokken bij alle ontwikkelingen binnen de organisatie die raken aan informatiebeveiliging, of die nu een digitale component hebben of niet.”

Continu leren

Voor veel beroepen geldt tegenwoordig de eis van Continuing Professional Education (CPE). Dat is ook voor CISO’s een goede benadering, vindt Oor. “Het is voor CISO’s eigenlijk vanzelfsprekend dat ze gedurende de loopbaan allerlei nieuwe ontwikkelingen blijven volgen en hun expertise en vaardigheden op peil houden. Veel beroepsverenigingen en certificeringen vragen daar ook om. Dat is niet voor niets: door opleidingen te volgen en congressen te bezoeken kan je de beste lessen leren op basis van actuele ervaringen van vakgenoten.”

Tot slot

Adviseur informatiebeveiliging Renco Schoemaker karakteriseerde een goede CISO eens in een artikel aan de hand van vijf eigenschappen. Geduld, omgevingsbewustzijn, communicatieve vaardigheden, een ambitieuze instelling en overtuigingskracht zijn naar zijn mening essentieel om de CISO-rol succesvol uit te voeren.

Het lijkt geen toeval dat Renco Schoemaker vijf soorten eigenschappen noemt: de CISO wordt vaak omschreven als een schaap met vijf poten. Er is geen glazen bol voor nodig om te voorspellen dat de uiteenlopende expertises en vaardigheden van CISO’s ook in de toekomst nog actueel zijn. Het speelveld wordt nu eenmaal steeds gevarieerder en complexer. Daarmee staan CISO’s op verschillende fronten voor nieuwe uitdagingen. Maar met de juiste inzet, expertise en ervaring is het vak daardoor ook spannender en interessanter dan ooit.

CISO versus CIO

Met de positionering van de CISO op managementniveau laten organisaties zien dat cybersecurity en security management van strategisch belang zijn. Maar wat betekent de managementpositie van de CISO voor de verhouding met de Chief Information Officer (CIO)?

Er is geen pasklaar antwoord op deze vraag, schrijft Greg Day, Vice President en Chief Security Officer bij Palo Alto Networks, in een blog op AG Connect. Er zijn diverse opties, die voor elke organisatie verschillende voor- en nadelen hebben. Zo kan de CISO deelnemen aan het team van de Chief Risk Officer (CRO), met als voordeel dat cyberrisico’s een structurele plek hebben in het risicomanagement van de organisatie. Een nadeel van deze constructie is dat de CISO op grotere afstand van het topbestuur komt te functioneren. De CRO is namelijk doorgaans niet direct gekoppeld aan de CEO.

De meest gebruikelijke positionering van de CISO is ten opzichte van de CIO. Dat betekent dat de CISO direct rapporteert aan de CIO. Volgens Day is dit de meest logische werkwijze, “omdat de CIO lid is van het zakelijk managementteam dat cybersecurity het beste moet begrijpen en de CISO-rol is gecreëerd om IT-systemen en -gegevens te beveiligen.”

Omdat de verantwoordelijkheden van CISO’s tegenwoordig over veel meer gaan dan IT, begint het traditionele model wel de relevantie te verliezen, waarschuwt Day. CISO’s weten als geen ander dat adequate cybersecurity naast technologische oplossingen ook aanpakken op het vlak van beleid, organisatie en mensen vereist. Dit verandert de positie van de CISO ten opzichte van de CIO.

Bovendien kunnen de prioriteiten van CIO’s op gespannen voet staan met de agenda van de CISO, signaleert Gray. De CIO kan bijvoorbeeld sterk inzetten op de ontwikkeling van applicaties, infrastructuur en netwerken. Dit kan ten koste gaan van het budget voor zaken die de CISO belangrijk vindt, bijvoorbeeld op het vlak van awareness.

Afgaand op recent onderzoek van Kaspersky Lab is dat laatste scenario zeker niet denkbeeldig. Ruim een derde van de ondervraagde CISO’s geeft aan het vereiste budget niet te kunnen waarborgen, omdat het lastig is de Return on Investment (ROI) te formuleren. Volgens 33 procent van de respondenten krijgen digitalisering, cloudtoepassingen en andere IT-projecten al snel voorrang, omdat de ROI hierbij eenvoudiger is aan te tonen.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten