Chief Information Security Officer of CISO – klinkt geweldig, maar is het dat ook? Klinkt als een geweldige positie, als alles goed gaat… Maar wat nu als een organisatie te maken krijgt met een grootschalig cyberincident? In tegenstelling tot andere senior posities kan het voor de CISO vrij snel persoonlijke gevolgen hebben, vooral vanwege het enorme risico en de impact van cybersecurity-incidenten. “Jij zou er toch voor zorgen?” “Hoe kunnen we nu gehackt zijn?” “Ik dacht dat we een goede CISO hadden?!” Helaas is een oordeel snel geveld.

De rol van een CISO

De functieomschrijvingen van CISO’s verschillen van organisatie tot organisatie en zijn verre van gestandaardiseerd. In sommige organisaties gaat het vooral om het ontwikkelen van de cybersecurity-strategie, het bepalen van beleid, het adviseren van het senior management en het monitoren van behaalde certificeringen. Terwijl in andere organisaties de CISO-rol een veel meer operationele focus heeft, zoals de implementatie van Endpoint Detection & Response (EDR)-technologie, de selectie van leveranciers en het afhandelen van abuse-meldingen. Dat is nogal een verschil!

Natuurlijk kun je algemeen geaccepteerde functieomschrijvingen en mindmaps vinden, maar uiteindelijk is er een enorm verschil in verwachtingen van de CISO-rol per organisatie. En dat is geen verrassing, als je bedenkt dat (a) cybersecurity zo’n breed onderwerp is, (b) de omvang en betreffende sector van organisaties de daadwerkelijke cybersecurity-vraag dicteren, en (c) onze digitale manier van werken volledig verweven is met elk aspect van een organisatie en daardoor per organisatie uniek is. En daar begint de complexiteit pas echt – het ‘wat en hoe’ verschilt per organisatie, waardoor het in principe onmogelijk is om een ‘one size fits all’-definitie te geven.

Het schaap met vijf poten

‘Een schaap met vijf poten’ is een alleskunner. Het staat voor het zoeken naar het onmogelijke, naar iemand die niet bestaat. En dat zien we bij CISO’s dagelijks – de lijst met wensen en eisen is zo ontzettend lang dat het enige verband lijkt te zijn dat het allemaal om cybersecurity draait; security operations, privacy, compliance, identity & access management, risk management, board advisor, auditor… Noem maar op!

De CISO een specialist?

In veel organisaties wordt de CISO gezien als de ‘security go-to person’ van het bedrijf. Als we nu bedenken dat het CISO-beroep zoveel activiteiten en verantwoordelijkheden met zich meebrengt, kun je dan eigenlijk wel een specialist zijn? Daarnaast is de rol van CISO drastisch veranderd vanwege de opkomst van cyberaanvallen. Van CISO’s wordt nu verwacht dat ze uit hun comfortzone van advies stappen en proactiever worden in het identificeren en voorkomen van cyberdreigingen. Naast het ontwikkelen en implementeren van beveiligingsbeleid, moet de CISO kennis hebben van de bedrijfsactiviteiten en belangen. En daarom dus ook in staat zijn om beveiligingsstrategieën te implementeren die zowel effectief zijn als goed aansluiten op de algemene bedrijfsdoelstellingen van de organisatie.

In de dagelijkse praktijk heb ik veel CISO’s zien worstelen, vooral vanwege hun gedeelde verantwoordelijkheid; zowel een senior manager zijn van wie wordt verwacht dat hij/zij strategische visie en begeleiding levert, als tegelijkertijd de ‘go-to person’ met een diepgaande, operationele kennis van cyberbeveiliging. Juist door deze hoge en vaak onrealistische verwachtingen is het niet altijd makkelijk om te zeggen dat je niet de alleskunner bent die ze van je verwachten. Denk aan twee voorbeelden: ben je in staat om zelf een Incident Response (IR)-plan op te stellen op basis van online documentatie, of is het misschien beter om een ervaren IR-specialist te vragen? Als je besluit om delen van cybersecurity uit te besteden aan een service provider, kun je dan de juiste beslissingen nemen tussen DYI en outsourcing? Naar mijn mening kun je er maar beter voor zorgen dat je een cyber-expert hebt die je ondersteunt bij dit soort onderwerpen.

Het wordt persoonlijk

Helaas is naming & shaming een veel voorkomend fenomeen in cybersecurity. Als het misgaat, bijvoorbeeld door een grootschalig cyber-incident, staan dikwijls de beste stuurlui aan wal. Iedereen pretendeert te weten wat de betreffende organisatie fout heeft gedaan, of nog erger: wat hun CISO fout heeft gedaan. Dit fenomeen zie je ook bij security-specialisten die werkzaam zijn voor bedrijven die niet goed beveiligd zijn: “dit kan vreselijk misgaan, dus ik kan hier maar beter weggaan, want ik wil niet dat dit aan mij kleeft.” Dit gedrag is volkomen begrijpelijk, maar ook schokkend: hoe kun je als individu de schuld krijgen van het feit dat er iets mis is gegaan, terwijl het speelveld van cybersecurity zo complex is?

Als we een parallel trekken met een bedrijf dat failliet gaat, praten mensen vaak over slechte producten, moeilijke economische omstandigheden, cashflow-problemen of onverwachte externe invloeden. Geven we vervolgens de CTO of de CFO de schuld? Nee. En nu terug naar grootschalige cybersecurity-incidenten; geven we de CISO de schuld? Ja!

Conclusie

Naast cybersecurity is er geen ander domein in een organisatie dat binnen een fractie van een seconde kan resulteren in ‘game over’ als het écht misgaat. Volgens verschillende verzekeringsmaatschappijen zal dit jaar in 2023 al 1 op de 5 bedrijven het slachtoffer worden van een cyberincident. Als we met zijn allen erkennen dat dit risico zo enorm hoog is, betekent dat wat mij betreft ook dat we een individu niet verantwoordelijk mogen houden voor een incident.

Transparantie en integriteit zijn cruciaal om elkaar te begrijpen en van elkaar te leren. Gelukkig zijn er steeds meer voorstanders van het delen van lessons learned uit cybersecurity-incidenten; Het is immers niet meer de vraag óf je te maken krijgt met een cyberincident, maar wanneer. Cybersecurity is een gezamenlijke verantwoordelijkheid. Anno 2023 moet cybersecurity echt deel uitmaken van het DNA van het gehele management en van alle onderliggende afdelingen.

Cybersecurity is zo’n breed onderwerp, het schaap met vijf poten bestaat niet. Het gaat om het actief delen van kennis en vaardigheden, zowel binnen als buiten je organisatie. Ik geloof dan ook sterk in samenwerking en daarom ondersteun ik de onlangs opgerichte CISO Community.