Wat er nodig is om een CISO te worden: Succes en leiderschap in IT-veiligheid voor ondernemingen

februari 19, 2019

Hoe kijken mensen die werkzaam zijn als Chief Information Security Officer (CISO) of een equivalent ervan aan tegen cyberveiligheid? Welke problemen ondervinden zij? Om deze vragen te kunnen beantwoorden ondervroeg Kaspersky Lab 250 security-directeuren over de hele wereld. Hun meningen zijn zeer interessant, hoewel ik niet kan zeggen dat ik het met al mijn collega’s eens ben.

Laten we kijken naar de vraag over het meten van de key performance indicatoren voor een CISO. Het is geen verrassing dat de meeste respondenten zeiden dat hun belangrijkste criterium de kwaliteit en snelheid van respons op een incident. In moderne bedrijven worden cyberincidenten niet meer beschouwd als een tekortkoming in veiligheid. Het is goed om te realiseren dat deskundigen beginnen te begrijpen dat incidenten onvermijdelijk, of zelfs normaal zijn. Vandaag de dag gaat cyberveiligheid voornamelijk over het in standhouden van het bedrijf.

Met in standhouden bedoel ik het handhaven van een beschermingsniveau dat kan garanderen dat in het geval van een geavanceerde en hardnekkige aanval, een datalek of een grootschalige DDoS, een bedrijf zich kan herstellen zonder al te veel schade. In andere woorden, CISO’s van nu focussen zich op incidentrespons.

Aan de ene kant werkt dit uitstekend. Slechts een aantal jaar geleden was er nog sprake van een nul-incidentenuitgangspunt en bedrijven dachten dat CISO’s in staat moesten zijn om infrastructuren volledig te kunnen beschermen. Maar aan de andere kant is de focus op slechts responstechnologieën niet veel beter. In mijn ogen zouden CISO’s een balans moeten vinden. Alle kenmerken van aanpasbare veiligheidsarchitectuur zijn belangrijk: voorkomen, opsporen, reageren en voorspellen.

Over risico’s gesproken

De meeste CISO’s zijn het erover eens dat de grootste consequentie voor een onderneming na een lek reputatieschade is. Daar ben ik het volledig mee eens. Ik zou op dezelfde manier reageren. Reputatieschade is de basis van alle andere incidentschade – dalende aandelen, vertrouwen, verkoopcijfers, etc.

Reputatie is de echte reden waarom we niets horen over de meerderheid van veiligheidsincidenten. Als een bedrijf een cyberincident geheim kan blijven, dan gebeurt dat – hoewel de wetgeving in sommige landen bedrijven dwingt om informatie over veiligheidsincidenten te communiceren naar aandeelhouders of klanten.

Blijkbaar kunnen CISO’s de verschillende doelen onderscheiden die cybercriminelen hebben en daarmee kunnen ze aanvallen die gesubsidieerd worden door de staat en aanvallen met een winstdoeleinde van elkaar onderscheiden.  Maar ik zou aanvallen van insiders bovenaan het lijstje plaatsen. Wat betreft schade zijn deze het gevaarlijkst – en ervaring leert dat een oneerlijke werknemer veel meer schade kan toebrengen dan externe boosdoeners.

Invloed op bedrijfskeuzes

Het was interessant om te zien hoe veiligheidsmanagers betrokken worden bij bedrijfskeuzes. Ik was verbaasd dat velen zichzelf niet betrokken genoeg vonden. Maar wat begrijpen zij onder de term ‘genoeg’?

In feite zijn er twee strategieën. Veiligheid heeft zeggenschap over alle beslissingen van een onderneming, waarbij iedere stap die gezet wordt, moet worden goedgekeurd. Een andere optie is dat het de functie heeft van consultant, waarbij het bedrijf vraagt om goedkeuring.

Op het eerste gezicht lijkt volledige controle het meest effectief – en dat klinkt logisch, in het geval cyberveiligheid op zichzelf een doel zou zijn. Maar in werkelijkheid vereist dit meer personeel, en het vertraagt de ontwikkeling van een bedrijf. Dat kan nogal uitdagend zijn voor vernieuwende bedrijven die bedrijfsprocedures hanteren die nog niet de beste resultaten opleveren op het gebied van veiligheid.

Budgetverantwoording

De antwoorden op de vraag ‘Hoe kun je je budget verantwoorden zonder een duidelijke ROI?’ verontrusten mij. Het lijkt erop dat de populairste verantwoording angst is – raming van de schade en verslagen bij voorgaande cyberveiligheidsschending. Dat werkt inderdaad, de eerste keer, en misschien ook de tweede keer. Maar bij de derde keer zal het antwoord eerder lijken op ‘OK, dat was eng. Hoe lossen anderen de zaken op?’

Het is relevanter voor bedrijven om te leren van ervaringen van andere bedrijven. Helaas staat de categorie ‘Sectorbenchmarks en beste praktijken’ slechts op de zevende plaats in de argumentenlijst, hoewel deze informatie openbaar is. We hebben bijvoorbeeld de handige tool: onze IT-veiligheid Calculator.

Dit onderzoek bidet een hoop stof tot nadenken. Je kunt het complete verslag hier lezen.