Een Chief Information Security Officer, kortweg CISO – steeds meer organisaties hebben er één aan boord. Soms omdat ze door nieuwe normen verplicht zijn om iemand toegewijd op cybersecurity te zetten, soms omdat een wetgeving hier sterk naar verwijst en de organisatie quasi verplicht om er één aan te stellen. Door het groeiende aantal cyberaanvallen staat deze problematiek tegenwoordig overal ook gewoon erg hoog op de agenda. Toch is het profiel van een CISO eerder schaars, waardoor bedrijven deze taak al eens bij IT schuiven. Dat is echter geen goed idee. De CISO-as-a-service wordt steeds vaker ingeroepen om aan de eis te voldoen of de zorg weg te nemen.
Ransomware en andere kwaadaardige software (of aanvalsmethodieken) zitten al geruime tijd in de lift. De pandemie was voor vele cybercriminelen de gedroomde kans om toe te slaan. Er wordt zelfs verwacht dat cybercriminaliteit dit jaar meer zal opbrengen dan de globale drugsbusiness. De toon is dus gezet en dat is ook de Europese regelgever niet ontgaan. De komende jaren mogen we ons dan ook verwachten aan een meer dwingende wetgeving. Getuige hiervan is de NIS 2.0 die in de steigers staat en waarover we in de komende maanden meer nieuws verwachten.
Ook los van factoren zoals ransomware en strengere wetgeving mag cybersecurity gewoon niet meer aan de zijlijn behandeld worden. In plaats van louter een verantwoordelijkheid van IT moet het een prominentere rol krijgen in de hele bedrijfsvoering. Cybersecurity vormt een significant onderdeel van de brede strategie waarmee niet alleen bedrijven, maar ook overheidsinstanties de continuïteit van hun business kunnen garanderen. Zeker tegen de achtergrond van een samenleving die steeds sneller digitaal transformeert, is dit echt géén overbodige luxe meer.
Waarom een CISO nodig is
Cybersecurity is nog vaak een karwei dat IT er maar bij moet nemen. Of er effectief stappen worden gezet, hangt af van de goodwill of interesse van de persoon in kwestie. Vandaag volstaat dat echter niet meer. Bovendien moeten we ons ervan bewust zijn dat het slachtoffer worden van cybercriminaliteit geen kwestie meer is van of, maar wel wanneer het gebeurt. Met als gevolg dat cybersecurity intussen zo belangrijk is dat iemand in het bedrijf dit als kerntaak moet opnemen.
De CISO – Chief Information Security Officer, soms ook kortweg Security Officer genoemd – zorgt voor de vertaling van bedrijfsnoden m.b.t. beveiliging van persoonsgegevens en de intellectuele eigendom naar IT-vereisten, en omgekeerd. Het is ook erg belangrijk dat deze persoon niet alleen in het dagelijkse bestuur, maar ook in de Raad van Bestuur een zetel krijgt. Al was het maar om diegene met bestuurdersaansprakelijk te duiden op het toenemend belang van cybersecurity.
Een bedrijf kan op allerlei manieren voordeel halen uit de aanwezigheid van een CISO. Deze persoon zorgt er namelijk voor dat cybersecurity een gestructureerd en gecoördineerd verhaal wordt, en dus niet stopt bij de technische aspecten zoals bijvoorbeeld het configureren van een router of firewall.
Naarmate bedrijven meer vertrouwen op applicaties voor hun processen, meer met 3de partijen connecteren, en IoT-toepassingen omarmen, kan de impact van een incident enorme proporties aannemen. De kost van downtime en de reputatieschade en/of eventuele boetes die dit met zich meebrengt, kan hoog oplopen. Het is daarom noodzakelijk om cybersecurity vanuit verschillende invalshoeken te bekijken. Een CISO evalueert de potentiële impact van een bepaald project of een nieuwe dienstverlening. Hij/zij identificeert de risico’s die eraan verbonden zijn en vraagt zich af hoe iets zo veilig mogelijk kan worden geïmplementeerd of opgestart.
In het beste geval wordt de CISO al vanaf de beginfase bij een project betrokken. Bijvoorbeeld wanneer je een applicatie ontwikkelt (of op maat laat ontwikkelen). Als je de CISO pas inschakelt vlak voor je iets in productie brengt, dan kan je niet veel meer veranderen en is het bijgevolg terug naar af. Door de CISO nauwer bij de ontwikkeling te betrekken, zullen bepaalde risico’s automatisch ingecalculeerd worden zodat ze nadien geen problemen veroorzaken. Het kan je met andere woorden heel wat tijd en geld uitsparen.
Bovendien valt een cyberincident jammer genoeg nooit volledig uit te sluiten. Een doorgedreven risicoanalyse geeft doorgaans een zeer goed beeld van wat er nu echt kritisch is voor een bedrijf, en hoe we dit vervolgens beter kunnen gaan beschermen.
Schaars profiel
Vanuit Orange Cyberdefense zien we de vraag naar CISO-profielen toenemen. Op de arbeidsmarkt is dit profiel nochtans eerder schaars en bovendien is ervaring geen onbelangrijk gegeven om deze rol in te vullen. Een CISO moet niet alleen de juiste technologische kennis hebben, ook communicatieve skills en zelfs managementvaardigheden zijn essentieel.
Zo moet de CISO aan de ene kant het belang van cybersecurity naar de werknemers van het bedrijf uitdragen. Zij moeten zich immers bewust zijn dat hun eigen handelingen grote gevolgen kunnen hebben. Ook al investeer je fortuinen in een firewall, je bent er weinig mee als een medewerker de verkeerde mail aanklikt. Aan de andere kant moet de CISO ook rechtstreeks aan de directie kunnen rapporteren. Dit is nog belangrijker wanneer de bedrijfsleiding door cybersecuritywetten persoonlijk aansprakelijk kan worden gesteld. De ‘C’ in CISO staat ons inziens dan ook niet enkel voor ‘Chief’, maar nog veel meer voor ‘Communicator’.
Tot slot moet een CISO ook goed op de hoogte blijven van alle technologische ontwikkelingen en trends, alsook van nieuwe wetgevingen die de aandacht van het bedrijf vereisen.
De noodzaak van een fulltime CISO?
Door het gebrek aan profielen is het aanwerven van een CISO vaak een dure onderneming. In grote organisaties is er meestal wel iemand met deze functie aanwezig, maar voor de meeste bedrijven is cybersecurity geen fulltime bezigheid. In het slechtste geval wordt de taak daarom bij een andere persoon geschoven, maar dat is geen goed idee. In het kader van de scheiding van taken en functies mag de opdracht al zeker niet in de schuif van de CIO belanden. Die heeft er in zijn relatie met de directie immers alle belang bij dat er geen incidenten optreden. Als de CISO een probleem vanuit een onafhankelijke rol kan rapporteren, zal er wellicht sneller op worden ingespeeld.
Die onafhankelijkheid is dan ook een belangrijke reden waarom organisaties een CISO buiten de bedrijfsmuren zoeken. Door de opdracht aan een extern, gespecialiseerd bedrijf uit te besteden, kan je heel flexibel op behoeften inspelen. Onze ervaring met het aanleveren van een CISO leerde ons dat het bijvoorbeeld perfect mogelijk is om iemand enkel voor bepaalde projecten in te schakelen, terwijl in een CISO in sommige bedrijven ook echt deel van het team kan worden.
Het feit dat de CISO kan terugvallen op een team van specialisten is een belangrijke troef. CISO-as-a-service is een adequate oplossing om cybersecurity op een gestructureerde en risico-gebaseerde manier aan te pakken. Ook na de pandemie zal het belang van cybersecurity blijven toenemen. Bedrijven doen er dus goed aan om na te denken over de rol en plaats van een CISO binnen de eigen organisatie. Het zou zelfs een topprioriteit moeten zijn.
