Technologisch gezien is het voor een CIO door de opkomst van big data, het internet of things en AI nog nooit zo’n interessante tijd geweest. Maar tegelijkertijd rust er een grote druk op CIO’s om de transformatie en digitalisatie van businessprocessen te ondersteunen.

Ondertussen lezen we bijna dagelijks over de grote impact die ransomware-aanvallen kunnen hebben op een bedrijf. Denk aan de ontbrekende kaas in de schappen van Albert Heijn, of het gebrek aan brandstof aan de oostkust van de VS. Zulke gebeurtenissen kunnen grote gevolgen hebben voor de nalatenschap (legacy) van de CIO.

Ben Krutzen, onafhankelijk adviseur, ex deputy-CISO van Shell en op dit moment chief information officer van het Shell Alumni Network, verzorgt op 18 mei op initiatief van SentinelOne een table talk tijdens CIO Inspire II. We spraken met Ben over het belang van early detection & response en de aandacht voor security in business- en IT-transformatie projecten.

IT van de zijlijn naar het podium

“Ieder bedrijf moet veranderen en nadenken over nieuwe businessmodellen om concurrerend te blijven”, stelt Ben. “De verwachtingen die de business van IT heeft om die businessmodellen te ondersteunen zijn hooggespannen. En de tijdsdruk om de juiste ondersteuning te bieden is groot: continuous delivery wordt steeds meer een vereiste.”

De toename van de hoeveelheid data maakt die uitdaging niet makkelijker, vertelt Ben. “De beschikbaarheid van goedkope sensoren maakt het mogelijk processen verder te automatiseren en optimaliseren, bijvoorbeeld met behulp van Digital Twins”. Dat maakt IT volgens Ben echt een partner van de business.

“Waar IT vroeger vaak als een kostenpost werd gezien, staan CIO’s nu niet meer aan de zijlijn, maar in het centrum en op het podium. Je kunt als CIO in deze tijd de held van de business worden en een prachtige legacy opbouwen (in de positieve zin van het woord natuurlijk). Maar even goed kun je falen als je de businesstransformatie niet voldoende kunt ondersteunen.”

Legacy-threatening scenario

Wat is volgens Ben dan de grootste bedreiging voor de legacy van een CIO? “Dat is een groot cyberincident. De consequenties daarvan zijn verreikend. Meestal denk je bij een incident aan enkele maanden van intensieve response en recovery waarbij er alles op is gericht om de bedrijfsprocessen weer op gang te krijgen. Crisismanagement-vergaderingen zijn niet echt de setting waarin je als CIO naast de meest senior businessleiders wilt zitten.”

Wat echter in het algemeen meer impact zal hebben is volgens Ben de periode daarna. “Daarin moet vaak een duur en tijdrovend verbeterprogramma worden uitgevoerd om de achterstand in beveiliging die je bedrijf in jaren heeft opgebouwd, weg te werken. Een achterstand die meestal organisch is gegroeid en waarmee je als CIO meestal al bij je aantreden werd geconfronteerd. Het gevolg hiervan is dat je IT staff – die toch al overloopt met werk – geen prioriteit meer kan geven aan de verandertrajecten die de business echt vooruithelpen. En laten dat nou net de trajecten zijn waarmee je aan je eigen legacy als CIO kunt bouwen.”

Voorkomen is beter dan genezen

Wat kun je als CIO doen om een ‘legacy-threatening scenario’ te voorkomen? Er zijn volgens Ben eigenlijk twee zaken die er positief uitspringen als je zoekt naar de meest effectieve manier om een dergelijk scenario te voorkomen.

“Het begint met early detection en response. Als je in staat bent om vreemde gedragingen in je omgevingen heel snel te zien, dan kun je dat grote incident mogelijk voorkomen. De nieuwste oplossingen voor end-point detection and response (EDR) zijn heel effectief, zoals in het laaste rapport van MiTRE is te lezen. Deze oplossingen zijn relatief eenvoudig en goedkoop te implementeren. Helaas is op dit moment nog steeds minder dan de helft van de endpoints voorzien van een moderne EDR-oplossing. Wat mij betreft echt een gemiste kans.”

Het andere advies dat Ben geeft is om vooral te kijken naar de beveiliging van de oplossingen die worden geimplementeerd in het kader van business- en IT-transformatie trajecten. “Het vergt relatief weinig extra inspanning om in deze trajecten security mee te nemen. Organisaties brengen nu soms innovatieve IT-trajecten in aparte ‘fusion units’ onder. Dat kan zeker helpen de snelheid erin te krijgen. Maar als je security daarin dan onvoldoende meeneemt, creëer je problemen voor de toekomst. Speel daarom je beste security-mensen vrij om deze innovatieve trajecten te begeleiden. Zo verlaag je de kans op incidenten en voorkom je veel duurdere security-verbeteringsprojecten in de toekomst.”

Volgens Ben is het belangrijk om de impact van een incident als CIO in een bredere context te plaatsen. “De impact beperkt zich niet tot de bedrijfsverstoring tijdens het incident; er moet ook rekening worden gehouden met de daaropvolgende jarenlange security improvement-programma’s, en de impact die deze zullen hebben op de zo noodzakelijke business transformatie trajecten.”

“Door slim te investeren in moderne EDR-oplossingen voor vroege detectie en response, en de juiste aandacht voor security in IT en business transformatie projecten, kun je de waarschijnlijkheid van grote incidenten effectief omlaag brengen. En door een duidelijke correlatie te leggen tussen deze investeringen en het succes van de businesstransformatie in je verantwoording naar de board, stel je deze investeringen gemakkelijker veilig. En dat is in het belang van zowel je organisatie als je eigen legacy als CIO.”

In hoeverre maakt jouw organisatie al gebruik van een moderne EDR-oplossing, en werken jouw beste security mensen in de belangrijkste business en IT-transformatie projecten?