Het vakgebied van de chief information security officer (CISO) dijt alsmaar uit. Tegelijk hebben security professionals moeite om met hun legitieme schreeuw om aandacht door te dringen tot de board. Competente CISO’s die terecht waarschuwen voor alle gevaren in de digitale wereld, ontberen soms de bedrijfspsychologische kennis, durf of overtuigingskracht om echt een vuist te maken.

Dit bleek tijdens de rondetafeldiscussie ‘Cybersecurity is Chefsache’, die werd georganiseerd door BaaS, Cisco en Fox IT. Door de opkomst van het internet of things, en daarmee manipuleerbare sensortechnologie, het nieuwe privacyshield, de meldplicht datalekken en de continue stroom van steeds omvangrijkere DDoS-aanvallen, weet de CISO soms niet meer waar hij of zij het moet zoeken.

“Zelfs de losse flodders van de nieuwe Amerikaanse president (‘boycot Apple vanwege het halsstarrige encryptiebeleid’) kunnen tegenwoordig impact hebben”, zo stelde moderator Don Eijndhoven, expert in cybersecurity, digitale geopolitiek & informatiebeveiliging en tevens interim-CISO. Hoe overtuig je de board van de urgentie en het nut van strategische informatiebeveiliging?

Zondvloed

“Mijn dashboard is nauwelijks meer te overzien en onzichtbare algoritmes die op de achtergrond hun werk doen, gaan het menselijke bevattingsvermogen ver te boven. Waar begint en eindigt mijn verantwoordelijkheid? Ik voel mij net een duizendpoot”, zo verzuchtte een van de deelnemers van het rondetafelgesprek in De Villa van ICT Media.

In hoeverre is de CISO ook verantwoordelijk voor een DDoS-aanval die wordt uitgevoerd met onveilige randapparatuur uit het eigen bedrijf, zoals met het internet verbonden printers en IP-camera’s? Wat te doen met werknemers – en niet te vergeten studenten en stagiairs – die in het kader van ‘bring your own device’ onveilige apparaten meenemen naar het werk? Strekt mijn verantwoordelijkheid zich in de nabije toekomst ook uit tot werknemers die onderhuids een chip implanteren? Of moet ik mij misschien veel laconieker opstellen en denken ‘na mij de zondvloed’?

“De CEO schrikt pas wakker als zijn ego in het geding is”

Het is duidelijk: de recente aanval op dns-provider Dyn en andere incidenten uit de grote boze wereld met meer dan 300.000 Chinese hackers, plaatst de CISO voor een aantal gewetensvragen. Tegelijkertijd worstelt de CISO met zijn positie ten opzichte van de board, waarbinnen de CEO vaak onwetend en onwillig is en commissarissen zich niet realiseren dat zij ook kritische vragen moeten kunnen stellen over de informatiebeveiliging.

Egotrippers

“De CEO schrikt pas wakker als zijn ego in het geding is. Bijvoorbeeld wanneer er vanuit zijn naam een phishing-e-mail wordt verstuurd”, zo wist een van de gespreksdeelnemers uit eigen ervaring te vertellen. “Of wanneer de beurskoers keldert vanwege een datalek”, zo viel een ander hem bij. “Soms is het een zegen als een onderneming wordt geconfronteerd met een ernstig beveiligingsincident. Dan verlopen de gesprekken over het beveiligingsbudget opeens een stuk soepeler.”

Maar wat te doen als de zaken echt uit de hand dreigen te lopen? Als leidinggevenden structureel dreigende beveiligingsincidenten negeren, wegrationaliseren en niet meetellen in de officiële bedrijfsstatistieken? Ondertussen neemt de kwetsbaarheid toe. Er staat in elk bedrijf wel ergens een server die de laatste patch heeft gemist. “Ik pas ervoor om de rol van klokkenluider op mij te nemen”, zo gaf een van de deelnemers ruiterlijk toe. “Hoewel ons werkterrein steeds breder wordt, moet je ervoor waken om op de stoel van de jurist of de privacy-officer te gaan zitten”, zo waarschuwde een ander.

Rupsje Nooitgenoeg

Over de vraag welk beveiligingsbudget nu toereikend is, ontspon zich een interessante discussie. De CISO wordt door directieleden al snel als Rupsje Nooitgenoeg gezien. De budgetonderhandelingen verlopen altijd stroef, rechtlijnig en eendimensionaal.

“Als ik nu 200.000 dollar investeer, blijven we dan voor altijd gevrijwaard van security-issues? Met dergelijke mispercepties moeten wij dagelijks zien te dealen”, zo vertelde een van de deelnemers. Het dringt maar niet tot de verantwoordelijke managers door dat security ‘here to stay is’ en dat er ondanks gigantische investeringen in beveiligingsbudgetten simpelweg geen waterdichte garanties bestaan.

Het wachten is op een hacker die een chloorfabriek, brug of spoorwegnetwerk platlegt door sensors te manipuleren. Eenmalige investeringen zijn een doekje voor het bloeden. Het grote probleem met security is dat investeringen geen tastbare producten opleveren, zoals bijvoorbeeld nieuwe medicijnen in de farmaceutische sector. “Wij zijn als beroepsgroep bovendien slecht in het onderbouwen van de businesscase”, zo gaf een deelnemer toe.

“Ik pas ervoor om de rol van klokkenluider op mij te nemen”

Commissarissen

“Over de beroepsuitoefening gesproken: wij hebben natuurlijk een fantastische job, maar misschien moet een bedrijf wel eerst drie of vier CISO’s verslijten voordat de boodschap overkomt”, zo merkte een deelnemer cynisch op. “Feit is dat niet elke onderneming in dezelfde groeifase naar een volwassen securitybeleid zit. De maturitylevels variëren van 1 tot 5”, zo merkte een ander op.

Toch was het niet allemaal kommer en kwel. Een van de deelnemers signaleerde dat commissarissen steeds betere en kritischere vragen stellen als het gaat om informatiebeveiliging. De vertegenwoordiger van FoxIT liet weten dat hoewel de ratrace met cybercriminelen onverminderd doorgaat, er wel degelijk stappen worden gezet.

“Dankzij de nieuwste inzichten in het dreigingslandschap zitten we ze op de hielen.” Cisco op zijn beurt gelooft heilig in kennisdeling. Desondanks is er tegen mass-surveillance en zogenoemde statelijke actoren geen kruid gewassen, ook daar was iedereen het snel over eens. Lees de jaarlijkse rapportages van Cybersecuritybeeld Nederland (CSBN) er maar op na.

Conclusie

CISO’s hebben een wereldbaan met impact, maar treffen helaas niet altijd de board aan hun zijde. De psychologische factor geeft dan vaak de doorslag. Eén ding is zeker, een inlevende CISO weet altijd het juiste haakje te maken en de juiste snaar te raken. Zelfs in de board…