vlnr Rence Damming, Don Eijndhoven, Bibi van den Berg, Roelof Hemmen (Foto: Vicky von der Fuhr)
Heliview congres IT & Information Security
IT-security en privacy krijgen doorgaans ruim aandacht in de media, al was het alleen maar vanwege de groeiende reeks beveiligingsincidenten en de buzz rondom GDPR. Toch blijkt dat de taken van de Chief Information & Security Officer in de praktijk vaak ‘even erbij’ worden gedaan. Veel aanzien of mandaat heeft de CISO doorgaans nog niet. Het Heliview congres IT & Information Security van afgelopen 6 februari peilde onder meer hoe het gesteld is met de CISO anno 2018.
Een paneldiscussie onder leiding van Roelof Hemmen leverde een helder beeld op van hoe troebel de rol en positie van de huidige CISO eigenlijk nog is. Don Eijndhoven, CEO van cybersecuritybedrijf Argent Consulting, stelt dat het met de CISO over het algemeen niet best is gesteld. “Wij zitten in bestuurlijk opzicht vaak op de verkeerde plek en wij moeten concurreren met IT, ook budgettair. Bovendien moet een CISO weet hebben van een enorme breedte aan onderwerpen, wat nauwelijks door één individu te doen is.”
Chief Information Security & Privacy Officer bij PON Rence Damming constateert dat it-security vooral wordt opgepakt door voormalige fysieke beveiligers. “Vaak hebben mensen, bij gebrek aan betere toestroom, een bepaalde pet op gekregen.”
Hoogleraar Cyberseurity Governance Bibi van den Berg ziet vanuit de onderwijswereld hetzelfde beeld. “Het veld verbreedt zich in rap tempo en de uitdagingen worden steeds groter. Mensen hebben moeite om aangehaakt te blijven binnen die hectische dynamiek. Volgens mij is de CISO van de toekomst meer een bruggenbouwer tussen de diverse experts.”
Dwarsdoorsnede
Een rondgang langs het publiek geeft goed de door de panelleden geschetste problematiek weer. Een ‘selfmade’ CISO vertelt dat hij zichzelf al decennia met studies bijspijkert en zich nu met privacywetgeving bezighoudt. Een jonge vrouw zonder it-achtergrond is tot security officer gebombardeerd vanwege een 27001-certificering. Zij ziet zichzelf inderdaad als die bruggenbouwer, maar mist naar eigen zeggen it-kennis. Een andere CISO is min of meer tegen zijn zin aangesteld in die rol en weer een ander vertelt dat ze per ongeluk een paar keer de rol van CISO moest invullen, omdat die functie nog niet goed bemenst was. “Kennis en kunde is slechts één kant van de medaille”, zegt ze. “Het gaat ook om mandaat. Een afweging tussen de noodzaak van het in de lucht houden van de website en het in orde brengen van de security daarvoor, moet misschien wel op het hoogste niveau worden gemaakt.” Een volgende spreker is als informatiemanager werkzaam in het onderwijs. Het is voor hem een probleem om de business mee te krijgen. Tegelijkertijd voelt hij de druk van de wet. “Ik moet ook nog iets doen aan innovatie, dus dat CISO-schap doe ik erbij.”
De door de panelleden geschetste problemen worden door het publiek bevestigd. Ook blijkt duidelijk dat er nauwelijks een dwarsdoorsnede valt te maken van dé CISO.
Brandweer
Eijndhoven deelt zijn zorg dat cybersecurityspecialisten voortdurend te hoog moeten springen om hun taak goed te kunnen blijven uitvoeren. “Van veel functies binnen de organisatie zijn de verantwoordelijkheden beter gedefinieerd dan van de CISO. Bovendien verandert ons werk dagelijks. Als je je prioriteitenlijst voor het komende half jaar op orde hebt, komt er ineens een WannaCry voorbij, of er komt een hele rits zwakheden vanwege IoT bovendrijven. Vrijwel dagelijks moet je dealen met een nieuwe realiteit.”
Volgens Damming is de CISO een beetje de brandweer. “Als het nooit brandt, vragen mensen zich af waarom we zoveel brandweerauto’s en blusmateriaal nodig hebben. Maar áls er dan brand uitbreekt, verwacht iedereen wel dat je er staat en weet hoe je de brand moet blussen.”
Van den Berg legt uit dat de bestaande kennishiaten vanuit het onderwijs kunnen worden aangevuld. “Die scholing bestrijkt technische kennis, maar ook zaken als organisatiekunde, communicatie en wet- en regelgeving. Je kunt niet op alle vlakken een specialist zijn, maar wel zodanig ingevoerd dat je op je gemak gesprekken kunt voeren binnen je organisatie.”
Het CISO-team
Een directielid van een sociale werkplaats in het publiek is het eens met Eijndhoven: “De CISO-functie laat zich niet in één persoon verenigen.” Hij wil de rol van CISO door meerdere personen laten uitvoeren, waarbij hijzelf die rol binnen de directie borgt. Een CISO-team als het ware. Maar als Hemmen vraagt of hij dan budget heeft voor drie voltijders, komt er een ontwijkende reactie. Volgens Eijndhoven zijn er onvermijdelijk financiële consequenties wanneer je ervoor kiest die CISO-rol door meerdere specialisten te laten uitvoeren. “Als je goede kwaliteit wilt, ben je echt meer kwijt dan modale salarissen.”
Damming: “Toen ik bij KPN Chief Privacy Officer was, zaten een psycholoog, een jurist en een techneut in mijn team. Verschillende competenties die elkaar mooi aanvulden. Een goede CISO is een schaap met minimaal zeven poten.”
Om dat bijzondere schaap te vinden of te creëren zijn er volgens Van den Berg te weinig specialisten. “Ook binnen het onderwijs. Omdat er in andere landen meer wordt geïnvesteerd in cybersecurity en informatieveiligheid, vertrekken veel goede mensen – die dus ook in ons onderwijs een rol kunnen spelen – naar het buitenland.”
Breekijzer
Nog los van de CISO zelf verschilt ook de cybersecurityvolwassenheid enorm per organisatie. Vanuit haar rol in de Cybersecurity Raad – de adviesraad voor de Nederlandse regering – spreekt Van den Berg met heel veel organisaties over dit onderwerp. “Het ene bedrijf is heel relaxed omdat ze alles op orde hebben, maar de andere CEO of burgemeester zie ik met de ogen knipperen… ‘Uh, cyberwat? En moet ik daar dan ook wat mee?’”
De professionaliteit van de CISO in algemene zin staat nog in de kinderschoenen. Een groot voordeel bij dit alles is het breekijzer van de GDPR. Die brengt met de dreiging van draconische boetes menig directie op het puntje van hun stoel.
