Print:

Zo houdt de CISO grip op de risico’s rond informatiebeveiliging

Mark Tissink , Security Specialist, CISO ad interim

LinkedIn profiel

Hoe zorgt de Chief Information Security Officer (CISO) ervoor dat de organisatie grip houdt op de risico’s rond informatiebeveiliging? Securityspecialist Mark Tissink vertelt over de actuele uitdagingen en de must-do’s voor nu en straks.

De aandacht voor ransomware is een steeds belangrijker onderdeel van het werk van de Chief Information Security Officer (CISO), signaleert Mark Tissink, trainer, coach, security-expert en CISO ad interim. “Ransomware is tegenwoordig voor criminelen een lucratief verdienmodel en daardoor is het voor organisaties – groot en klein, in alle sectoren – een zeer serieuze bedreiging. Daders voeren niet alleen doelgerichte aanvallen uit, maar proberen via allerlei acties om binnen te komen. Als de beveiliging onvoldoende is, dan hoeft er maar één medewerker op een verkeerde link te klikken om de organisatie plat te leggen.”

De CISO als onmisbare strategische business partner

“Als je als CISO echt als een strategische business partner wilt opereren, voer je steeds met de directie het gesprek over de dreigingen, kwetsbaarheden, risico’s en oplossingen. Waar staan we nu en wat moet er nog gebeuren om niet geraakt te worden?”, zegt Tissink, die als hoofddocent van de praktijkcursus De CISO als strategisch business partner zijn expertise en ervaring deelt. “Er is inmiddels een sterke awareness van de risico’s van ransomware. Maar er moeten ook budgetten toegekend worden aan de aanpak. Dat betekent dat de CISO de ernst van kwetsbaarheden en de mogelijke gevolgen van aanvallen moet – blijven – duiden, in een stijl en taal die de directie aanspreekt.”

De CISO speelt in de afhandeling van incidenten een belangrijke rol als interne adviseur van de directie. “De CISO heeft een goed overzicht over de informatiebeveiliging van de organisatie, en brengt security-specialisten samen om inzichten te delen en het gesprek te voeren over mogelijke acties. De directie neemt uiteindelijk het besluit over de aanpak, zoals over de vraag of er losgeld wordt betaald of juist niet. In de afwegingen daarbij spelen naast het belang van de bedrijfscontinuïteit ook ethische thema’s.”

Controle en advies

Controleren en adviseren zijn de kerntaken van de CISO. Een goede onderbouwing is daarbij belangrijker dan ooit, aldus Tissink. “Je moet aantoonbaar maken wat de situatie nu is, wat er al op orde is en welke acties er nog nodig zijn. Met rapportages – eventueel aangevuld met een externe toets en de uitkomsten van tests – maak je inzichtelijk en overtuigend wat er goed gaat en wat er beter kan. Je bent als CISO eigenlijk de TomTom voor de directie: je geeft aan wat er gebeurt als de organisatie een bepaalde kant op gaat en wat er moet worden geregeld om voldoende veilig te zijn.”

Is de combinatie van controlerende en adviserende taken niet ingewikkeld, of soms zelfs tegenstrijdig? Tissink nuanceert: “Controle en advies gaan goed samen, mits de CISO de implementatie aan collega’s overlaat. Als je de plannen waarover je zelf hebt geadviseerd ook gaat uitvoeren, dan ga je later eigenlijk je eigen werk controleren.”

Eigenaarschap

De CISO is de aangewezen persoon om de directie te adviseren over programma’s, projecten en andere acties om de informatiebeveiliging op orde te brengen en te houden. Vervolgens is het aan de directie om de aanpak te accorderen en te besluiten welke (rest)risico’s acceptabel zijn. “Een uitdaging voor de CISO is om het eigenaarschap niet over te nemen. Als CISO ben je er voor de oplossingen, maar je bent niet van het oplossen. Als bijvoorbeeld de Plan Do Check Act voor de informatiebeveiliging niet op orde is, dan ben je daar als CISO (eind)verantwoordelijk voor. Maar je moet niet zelf een oplossing gaan uitvoeren – de CISO is van het proces, de lijnorganisatie van de inhoud.”

In kleine organisaties, waar weinig operationele capaciteit is voor informatiebeveiliging, is het voor een CISO extra ingewikkeld om zich te focussen op controle en advies. “Hoe kan je je onafhankelijke positie behouden en toch meewerken aan oplossing? Hoe kan je de organisatie in beweging brengen maar ook in control blijven? Dan kan een externe deskundige de interne toets uitvoeren, maar komt het ook aan op soft skills, zoals persoonlijk leiderschap en de communicatie met IT, de business en de directie.”

Vertaalslag

In de praktijkcursus komen naast de vaktechnische inhoud ook praktische vaardigheden aan bod. Deelnemers doen kennis en vaardigheden op over thema’s zoals de positie van de CISO in de organisatie, draagvlak voor het werk van de CISO en risicomanagement voor informatiebeveiliging.

“Houd het nieuws en de actuele ontwikkelingen in het veld van informatiebeveiliging goed in de gaten, en maak steeds de vertaalslag van dreigingsanalyses en tests naar risico’s voor jouw organisatie”, adviseert Tissink. “Hoe houden we grip op de informatiebeveiliging als we steeds meer in de cloud werken? Hoe blijft de organisatie doordraaien na een datalek, na een ransomware-incident of tijdens een DDoS-aanval? Met de juiste beoordeling van informatie en de adequate maatregelen help je als CISO de organisatie om goed voorbereid te zijn op mogelijke incidenten.”

Wilt u ook als (aankomend) CISO klaar zijn voor de uitdagingen van de toekomst? Volg de driedaagse praktijkcursus De CISO als strategisch business partner. Speciaal ontwikkeld voor voor ambitieuze professionals die betrokken zijn bij informatiebeveiliging en de bescherming van persoonsgegevens, zoals (aankomend) CISO’s, security officers, data protection officers, ICT managers, hoofden IT, general risk managers en managers informatiebeveiliging.

Verder lezen?

Laat uw e-mail achter en ontvang de gehele brochure direct in uw mailbox.