5min Security

Hoe de rol van de CISO radicaal is veranderd

Hoe de rol van de CISO radicaal is veranderd

In de jaren ’90 ontstond de rol van de Chief Information Security Officer (CISO). Wat begon als een functie die gedaan móést worden, kan nu een echte business enabler zijn. Dat stelt Tesorion in een recent verschenen visiepaper.

Het beheer van de IT-infrastructuur was al eerder een taak van formaat geworden. Maar met enkel een Chief Information Officer (CIO) bleven er blinde vlekken bestaan op het gebied van security. Twee factoren hebben de CISO-rol bestaansrecht gegeven: de toenemende dreiging van cybercrime en regelgeving. De CISO kan tegenwoordig veel meer en staat regelmatig in direct contact met leidinggevenden en de directie. Het is een complexere taak geworden in een almaar complexere wereld.

Tip: Tesorion wil zichzelf eigenlijk overbodig maken

Die complexiteit is steeds meer noodgedwongen, dankzij ontwikkelingen zoals verregaande automatisering van processen, cloud en steeds meer apparatuur die in verbinding staat met het internet. Hierdoor wordt het aanvalsoppervlak steeds groter. Ook cybercriminelen zitten niet stil. Cyberdreigingen zijn er in alle soorten en maten en treffen allerhande organisaties. Ze raken casino’s, voetbalbonden en ziekenhuizen: geen organisatie is uitgezonderd. De werkelijke schade is groter dan alleen de schade aan data en systemen, of de tijdelijke downtime.

Een cyberincident trekt ook media-aandacht, maar het echte gevaar is groter dan wat het nieuws haalt. Je zou denken dat dit genoeg redenen zijn om cybersecurity op orde te hebben. Helaas is dat lang niet altijd het geval. Wetgeving zoals de NIS2-richtlijn zorgen nu voor een andere, nog dwingendere drijfveer; organisaties móéten nu van de overheid hun security op orde hebben. Maar welke rol kan de CISO hierin vervullen?

CISO versus CEO?

De prioriteiten van de CISO staan weleens haaks op die van de CIO en CEO. Daar waar de Chief Information Officer het veelal gemunt heeft op kostenbesparingen of een drang naar verder efficiëntie, moet de CISO zich regelmatig hard maken voor stringente security-eisen. Die kunnen een sta-in-de-weg zijn voor innovatie, iets waar de CEO juist op hamert. In een traditioneel organogram is de CISO onder de CIO te vinden. Tegenwoordig switchen organisaties echter naar een CISO-rol die náást die van de CIO staat en direct aan de CEO rapporteert. Veel duidelijker kan het toegenomen belang van de functie niet worden.

Tegelijkertijd is de CISO allang geen security-boeman meer. In plaats van alleen een kostenpost is veiligheid een business enabler geworden. De CISO transformeert hierdoor van een beleidsmatig of technisch expert naar een strategische partner. Besluitvorming wordt idealiter dus genomen met security als speerpunt in plaats van struikelblok. Dat gaat verder dan de gebruikelijke taken van de CISO, zoals het verkleinen van het aanvalsoppervlak.

De CISO als groeifactor

Bij Tesorion zien ze dat de CISO een veel grotere rol kan spelen bij het realiseren van de strategische bedrijfsagenda van de CEO. Daadkrachtige besluiten en groeigerichte adviezen liggen in petto voor de CISO anno 2024, zo blijkt uit de visiepaper van Tesorion. Denk aan goede raad rondom data-opslag in de cloud, de inzet van nieuwe technologie, het faciliteren van duurzaamheidseisen of het afstemmen met inkoop rondom de minimale eisen per IT-partner of -leverancier. Door duidelijke kaders te verschaffen, weten collega’s van de CISO waar innovatie

wél kan plaatsvinden. Met andere woorden: de CISO fluit niet zozeer terug waar nodig, maar wijst aan hoe de IT-aanpak moderner en verfijnder kan op een verantwoorde manier.

Dit is broodnodig, gezien het feit dat AI in opkomst is en de lokroep van de cloud al jaren speelt. Innovatie rondom IoT devices (dus alles van aircosensoren tot autonome fabriekskarretjes) vraagt ook om een volwassen security-benadering. CISO’s moeten deze technologieëen benutbaar maken én de risico’s correct inschatten.

Een andere zaak, één die de essentie van de CISO-rol raakt, is de toename in cybercrime en malafide statelijke actoren. Kwaadwillenden staan klaar om elke kwetsbaarheid te exploiteren met als doel om bijvoorbeeld de maatschappij te ontwrichten, desinformatie te verspreiden of vertrouwelijke informatie buit maken. Veelal gaat dit automatisch én doelgericht, met name richting kritieke infrastructuur. Ziekenhuizen, fabrieken en alarmcentrales kunnen hun borst dus nat maken. Dat vereist een CISO die innovatie en security kan verbinden, zodat deze reëele dreiging de vereiste modernisering niet beknot.

Tot slot kan een CISO een belangrijke rol spelen bij overnames. Een geheel andere organisatie kent een eigen security-aanpak en gerelateerde processen. Bij eventuele verschillen zijn er lessen te trekken voor later, maar bovenal moet het beveiligingslandschap stabiel blijven. De CISO kan dit proces begeleiden en benutten.

De CISO als storyteller

Een moderne CISO moet een goede storyteller zijn, aldus Tesorion. Met andere woorden: een heldere communicator die weet welke gevaren en kansen relevant zijn en dit kan uitleggen op zowel operationeel als directieniveau. “De moderne CISO heeft kennis van verandermanagement,” wordt terecht in de visiepaper opgesteld. Immers zijn IT-taken mensenzaken, en dat vergt overtuiging. Er zijn genoeg handvatten voor de argumentatie.

Het moet overigens niet blijven bij een CISO die bij de les is en de directie overtuigt. De gehele organisatie dient zich bewust te zijn van de juiste security-aanpak. 80 procent van alle (!) organisaties maakt cyberaanvallen mee die gericht zijn op medewerkers. HR-personeel en sales zijn bijvoorbeeld uitstekende doelwitten. Phishing-campagnes zijn steeds geraffineerder, AI-tools als ChatGPT helpen zelfs met het schrijven van steeds overtuigendere e-mails.

De CISO weet dat deze gevaren nooit helemaal zijn uit te sluiten. Zelfs het best getrainde personeel kan om de tuin worden geleid. Dat vereist een draaiboek, dat een partij als Tesorion kan helpen schrijven. Het schrijven van een business impact-analyse (BIA) is ook een kerntaak van de CISO. Dat sluit aan bij de verdere functies van deze rol, die dus breder is dan ooit. Het laat zich niet beperken door het security-hoekje waaruit de functie ooit ontstond.

Meer weten? Kijk dan naar de Tesorion T-Talks-aflevering over de veranderde CISO-rol.