De veranderende CISO skillset is geenszins een nieuw onderwerp. Het laatste decennium heeft er een verschuiving plaatsgevonden in wat deze rol inhoudt. Voorheen stond de CISO vooral bekend als de persoon die vaak ‘nee’ zei en de schuld kreeg van beveiligingsincidenten. De titel werd ook wel gekscherend Chief Impeding Sacrificial Officer genoemd. Tegenwoordig is de essentie van de moderne CISO echter helemaal niet meer alleen cyber-gerelateerd.
In plaats daarvan gaat het over het vermogen om verschillende vormen van communicatie te begrijpen en te onderscheiden, die nodig zijn om tegemoet te komen aan de steeds veranderende behoeften van de werknemers en van de business. In dreigingslandschap dat sneller evolueert dan ooit tevoren, is communicatie over risico’s essentieel voor iedere CISO die zijn organisatie veilig wil houden.
Communicatie naar boven
Er is de laatste tijd steeds meer aandacht voor de groeiende rol van CISO’s als ‘opleiders’ voor hun raden van bestuur. Nu steeds meer overheden ingrijpende regelgeving op het gebied van cyberbeveiliging overwegen, kijkt het bestuur naar CISO’s voor advies over hoe hierop te reageren. Dit is een grote verschuiving ten opzichte van de meer transactionele interacties die CISO’s tien jaar geleden met hun besturen hadden.
Op de hoogte blijven van de nieuwste ontwikkelingen op het gebied van cyberbeveiliging is een uitdaging, en het voorspellen van juridische en financiële implicaties van bestaande en voorgestelde wetgeving kan bijzonder lastig zijn. Veel recente regelgeving op het gebied van cyberbeveiliging is bijvoorbeeld alleen van toepassing op overheidsinstanties. Dit betekent echter niet dat het geen impact heeft op de particuliere sector. Wanneer de overheid een verordening goedkeurt, wijst zij namelijk vaak samenwerkingen af met organisaties die niet aan dezelfde norm voldoen.
In die zin worden bedrijven die overheidscontracten zoeken ook beïnvloed door cyberbeveiligingsregels, zoals DORA, SREN of NIS2. Met name NIS2-richtlijnen – een EU-brede wetgeving over cyberbeveiliging – moeten het algehele niveau van cyberbeveiliging binnen de EU een impuls geven. Op grond van deze richtlijnen moeten bedrijven die door overheidsorganisaties worden aangemerkt als exploitanten van essentiële diensten – waaronder belangrijke digitale aanbieders zoals zoekmachines, cloud computing-diensten en online marktplaatsen – passende beveiligingsmaatregelen nemen en landelijke autoriteiten tijdig op de hoogte stellen van beveiligingsincidenten.
Proberen te voldoen aan deze cybersecurity-regelgeving, zou een fulltime baan op zich kunnen zijn. Een ander deel van de uitdaging waarmee CISO’s te maken hebben, is weten hoe ze het bestuur kunnen laten begrijpen wat het echte risico voor de organisatie is. Nu het tempo van veranderingen in regelgeving alleen maar toeneemt, zal het vermogen van CISO’s om naar boven te communiceren essentieel zijn voor blijvend zakelijk succes.
Zijwaartse communicatie
Naarmate het belang van cyberbeveiliging binnen de organisatie is toegenomen, is ook de status vergroot van degenen die er de leiding over hebben. De CISO heeft een ‘C’ in de titel en is dus al een business leader, en hiermee is zijwaartse communicatie nog belangrijker geworden.
De CISO heeft een brede verantwoordelijkheid; hij is verantwoordelijk voor de veiligheid van het hele bedrijf en van alle digitale identiteiten, apparaten en systemen die daarbij horen. Als de beveiliging van een van deze elementen faalt of in gevaar komt, komt ook de organisatie als geheel in gevaar en wordt de stabiliteit aangetast. Het komt echter zelden voor dat een CISO deze verantwoordelijkheid rechtstreeks waarmaakt. Dit komt doordat de eigenaar van het endpoint (apparaten, systeem, monitoring en beheer) uiteindelijk verantwoordelijk is voor het leveren van de beveiliging ervan. Vaak valt dit onder de Chief Information Officer (CIO), maar ook andere leden van de C-suite komen steeds vaker in actie nu technologie belangrijker wordt in hun activiteiten.
CISO’s moeten dus op het hoogste niveau met collega’s communiceren over hun gedeelde verantwoordelijkheid en overeenkomstige doelstellingen. Ze moeten dit combineren met het vertellen van verhalen, onderhandelen en verkopen, om hun betrokkenheid bij de visie en missie te garanderen. Alleen zo kunnen CISO’s de relaties opbouwen die nodig zijn om erop te kunnen rekenen dat hun collega-leiders de beveiligingsdoelstellingen (mede) waarmaken.
Communicatie naar beneden
Neerwaartse communicatie is misschien wel de belangrijkste vorm van communicatie. Het gaat er vooral om dat teams zich achter bepaalde ambities scharen. Er zijn veel mensen binnen de beveiligingsfunctie – met name analisten – die hun dagen niet willen besteden aan het doorzoeken van incident-logbestanden. In plaats van deze monotone monitoring uit te voeren, zijn analisten bijvoorbeeld veel meer geïnteresseerd in het verstrekken van diepgaande inzichten die organisaties kunnen helpen om potentiële zwakke plekken bloot te leggen in de beveiliging of inbraken te analyseren die al hebben plaatsgevonden.
Door in gesprek te gaan met medewerkers die oprecht geïnteresseerd zijn in het leveren van oplossingen om de organisatie veilig te houden en sneller te laten werken, kunnen CISO’s bijdragen aan een fijne werkomgeving, waardoor sneller nieuw talent aangetrokken/ behouden kan worden – iets wat steeds lastiger wordt. Dit leidt weer tot betere resultaten. Een CISO die weet hoe hij doelen naar beneden moet communiceren en ervoor kan zorgen dat een team enthousiast is over het behalen van de doelstellingen, is iemand die op korte en lange termijn een beter personeelsbestand zal realiseren.
Het grotere plaatje
De rol van de CISO ontstond in een tijd waarin organisaties iemand nodig hadden die verantwoordelijk was voor IT-beveiligingszaken. Naarmate technologie is geëvolueerd en van cruciaal belang is geworden voor zakelijk succes, geldt dat ook voor de verantwoordelijkheid en de vereiste vaardigheden van de CISO. Nu er minder aandacht is voor tools, dreigingen en risicobeheer dan ooit tevoren, is voor de succesvolle moderne CISO niets zo belangrijk als uitzoeken hoe hij zijn bedrijf efficiënter, meer verbonden en dus beter presterend kan maken. Op dezelfde manier heeft de moderne CISO behoefte aan een meer geconsolideerd bewustzijn van het bedrijf als geheel en het vermogen om daarover een dialoog aan te gaan.
Voor de functie van CISO zijn altijd flexibele mensen nodig geweest met een goed aanpassingsvermogen en een passie voor beveiliging. Maar in de wereld van vandaag gaat het net zo goed om zakelijk leiderschap en communicatie als om het veiligheidsaspect zelf. Als een CISO in een vooruitstrevende organisatie de business niet begrijpt en hier niet over kan praten, heeft hij weinig tot geen kans om de prioriteiten effectief aan het bestuur te verkopen, noch om de rest van de organisatie betrokken te krijgen bij de acties die nodig zijn om deze doelstellingen te verwezenlijken.
