CISO: psycholoog en duizendpoot

Het vakgebied van de Chief Information Security Officer (CISO) dijt alsmaar uit. Tegelijk hebben security professionals moeite om met hun legitieme schreeuw om aandacht door te dringen tot de board. Competente CISO’s die terecht waarschuwen voor alle gevaren in de digitale wereld, ontberen soms de bedrijfspsychologische kennis, durf of overtuigingskracht om echt een vuist te maken.

Door de opkomst van het internet of things, en daarmee manipuleerbare sensortechnologie, het nieuwe privacyshield, de meldplicht datalekken en de continue stroom van steeds omvangrijkere DDoS-aanvallen, weet de CISO soms niet meer waar hij of zij het moet zoeken.

“Zelfs de losse flodders van de nieuwe Amerikaanse president (‘boycot Apple vanwege het halsstarrige encryptiebeleid’) kunnen tegenwoordig impact hebben”, zo stelde moderator Don Eijndhoven tijdens het rondetafeldiscussie ‘Cybersecurity is Chefsache’, expert in cybersecurity, digitale geopolitiek & informatiebeveiliging en tevens interim-CISO. Hoe overtuig je de board van de urgentie en het nut van strategische informatiebeveiliging?

Zondvloed

“Mijn dashboard is nauwelijks meer te overzien en onzichtbare algoritmes die op de achtergrond hun werk doen, gaan het menselijke bevattingsvermogen ver te boven. Waar begint en eindigt mijn verantwoordelijkheid? Ik voel mij net een duizendpoot”, zo verzuchtte een van de deelnemers van het rondetafelgesprek.

In hoeverre is de CISO ook verantwoordelijk voor een DDoS-aanval die wordt uitgevoerd met onveilige randapparatuur uit het eigen bedrijf, zoals met het internet verbonden printers en IP-camera’s? Wat te doen met werknemers – en niet te vergeten studenten en stagiairs – die in het kader van ‘bring your own device’ onveilige apparaten meenemen naar het werk? Strekt mijn verantwoordelijkheid zich in de nabije toekomst ook uit tot werknemers die onderhuids een chip implanteren? Of moet ik mij misschien veel laconieker opstellen en denken ‘na mij de zondvloed’?

“De CEO schrikt pas wakker als zijn ego in het geding is”

Het is duidelijk: de recente aanval op dns-provider Dyn en andere incidenten uit de grote boze wereld met meer dan 300.000 Chinese hackers, plaatst de CISO voor een aantal gewetensvragen. Tegelijkertijd worstelt de CISO met zijn positie ten opzichte van de board, waarbinnen de CEO vaak onwetend en onwillig is en commissarissen zich niet realiseren dat zij ook kritische vragen moeten kunnen stellen over de informatiebeveiliging.

Egotrippers

“De CEO schrikt pas wakker als zijn ego in het geding is. Bijvoorbeeld wanneer er vanuit zijn naam een phishing-e-mail wordt verstuurd”, zo wist een van de gespreksdeelnemers uit eigen ervaring te vertellen. “Of wanneer de beurskoers keldert vanwege een datalek”, zo viel een ander hem bij. “Soms is het een zegen als een onderneming wordt geconfronteerd met een ernstig beveiligingsincident. Dan verlopen de gesprekken over het beveiligingsbudget opeens een stuk soepeler.”

Rupsje Nooitgenoeg

Over de vraag welk beveiligingsbudget nu toereikend is, ontspon zich een interessante discussie. De CISO wordt door directieleden al snel als Rupsje Nooitgenoeg gezien. De budgetonderhandelingen verlopen altijd stroef, rechtlijnig en eendimensionaal.

Conclusie

CISO’s hebben een wereldbaan met impact, maar treffen helaas niet altijd de board aan hun zijde. De psychologische factor geeft dan vaak de doorslag. Eén ding is zeker, een inlevende CISO weet altijd het juiste haakje te maken en de juiste snaar te raken. Zelfs in de board…

Bron: itexecutive  

Tijdens het IT & Information Security congres (dinsdag 6 februari 2018) zal o.a. Don Eijndhovendeelnemen aan de live talkshow op het hoofdpodium. Hij zal de ins en outs gaan bespreken over de veranderde rol van de Chief Information Security Officer. Is hij een generalist of een specialist? Is het iemand die samenwerking zoekt met bijvoorbeeld ketenpartners en concurrenten? Is hij business of IT gedreven? Wat voor competenties zijn nodig? Waar liggen welke verantwoordelijkheden en wie is aansprakelijk? Hoe gaat hij om met security in een steeds complexer wordende IT omgeving? Hoe gaat hij om met de steeds veranderende wet en regelgeving en hoe ziet zijn rol er in de toekomst uit?

IT & Information Security 2018 bijwonen?

Wilt u deze editie van hét security congres bijwonen? Meld u dan zo snel mogelijk aan via www.security.heliview.nl/aanmelden. Zorg dat u er snel bij bent, want op dit moment hebben we al meer dan 200 aanmeldingen ontvangen!