In de afgelopen jaren heeft de rol van de Chief Information Security Officer (CISO) haar intreden gedaan in gemeenteland. Gemeenten die willen voldoen aan de Baseline Informatiebeveiliging Overheid hebben zo’n CISO hard nodig. 50% van de vacatureaanvragen op LinkedIn zijn voor gemeenten. Echter is deze rol van de CISO de afgelopen jaren drastisch veranderd. Uit de recente cijfers blijkt dat niet minder dan 22% van het IT-budget wordt gespendeerd aan cybersecurity en informatiebeveiliging. Onze eigen ervaring leert ons dat een dialoog met C-level leidinggevenden tegenwoordig wordt gedomineerd door de vragen: Doen we de juiste dingen op het gebied van cyberveiligheid, en doen we deze dingen juist? Hoe meten en controleren we ons rendement op investeringen in beveiliging (Return on Security Investment - ROSI)? En waar krijgen we de meeste waar voor ons geld?
In dit artikel, geschreven door prof.dr. Yuri Bobbert, Academisch Directeur van de Business & IT Masters bij Antwerp Management School, worden de drie belangrijkste perspectieven die de reikwijdte van de CISO in de organisatie bepalen besproken. Die verschillende niveaus vragen om verschillende standpunten en aandachtspunten in de dialoog over de ROSI. Daarnaast bekijken we ook de vaardigheden van de CISO in de toekomst.
Drie belangrijke perspectieven om de reikwijdte in de organisatie te bepalen:
1. Conversaties op directieniveau
Op directieniveau dient de CISO een overzicht van en inzicht in de grootste cyberrisico’s te verschaffen. Dat inzicht moet een afspiegeling zijn van relevante bronnen van informatiebeveiliging en risico-informatie binnen en buiten de gemeente. Idealiter wordt de impact ervan op de organisatie en de belanghebbenden uitgedrukt in economische termen. Maar het gaat evenzeer om Maatschappelijk Verantwoord Ondernemen (MVO) en Doelstellingen inzake Duurzame Ontwikkeling (SDGs). Dat betekent dat de CISO ook verantwoordelijk is voor de nauwkeurigheid en betrouwbaarheid van de benodigde brongegevens. Organisaties die niet voldoende zorg aan de dag leggen voor hun data, digitalisering, risico’s en beveiliging zullen uit de boot vallen.
2.Conversaties op managementniveau
Op het tweede niveau is inzicht in en overzicht over de juiste verantwoordelijkheden relevant. De hoofdverantwoordelijkheid van managers op dit niveau is ervoor te zorgen dat het DNA van het bedrijf is ingeënt met voldoende beveiliging, risicobewustzijn, verantwoordelijkheidszin, leiderschap en vakmanschap. De belangrijkste rol voor de CISO is hier als die van een dokter die constant diagnoses stelt om te bepalen wie een aangepaste behandeling nodig heeft, en die helpt de juiste beslissingen te nemen. Denk hierbij aan systeem of data eigenaren van de Gemeentelijke Burger Administratie die “ownership” nemen over hun systemen en dus ook nadenken over een voldoende mate van beveiligingsniveau en voldoende budgetruimte hiervoor. Dit kun je vandaag de dag niet alleen meer overlaten aan de IT afdeling. De IT afdeling is louter faciliterend, eigenaarschap en accountability liggen niet bij IT.
3. Conversaties op operationeel niveau
De implementatie van cybersecurity gebeurt op het operationele niveau. Het grootste probleem voor alle organisaties van redelijke omvang met een hoge mate van IT is het dynamisch afstemmen van technische implementeringen op hun interne of externe vereisten voor cyberdreigingen. Slimme steden (Smart cities) moeten bij het verzamelen van burger data rekening houden met AVG eisen, die vaak technische maatregelen voorschrijven. Uit onderzoek van Antwerp Management School weten we dat een ruime meerderheid van organisaties niet aan die technische eisen voldoen.
Na twee volle jaren implementatie van de Europese verordening lijken informatiebeveiliging en de bijbehorende maatregelen de meest uitdagende kwestie voor bedrijven om aan te voldoen. Een kwantitatieve analyse door advocatenkantoor CMS van de meest geschonden AVG-artikelen toont aan dat het type AVG-schending met de hoogste som (openbaar gepubliceerde) boetes die sinds de handhaving van de AVG zijn opgelegd, is de "onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen" . Zoals vermeld in artikel 32 van de AVG. Er wordt van uitgegaan dat bedrijven de beveiliging van informatie moeten waarborgen, in overeenstemming met hun capaciteiten, middelen en technologieën die op de markt beschikbaar zijn. Dit geeft bedrijven niet per se veel meer inzicht in wat ze moeten doen, en hoe ze dat moeten doen om hun gegevens te 'beveiligen'.
Tevens gaat deze wetgeving er vanuit dat de verantwoordelijke voldoende kennis en kunde in huis hebben hiervoor.
Een effectieve samenwerking, orkestratie en administratie van IT security zijn dus vereist voor het verlagen van de stress en onnauwkeurigheid waarmee CISO’s op dit gebied te maken krijgen.
Vaardigheden van de nieuwe Cyberleider in de toekomst
De rol van de CISO groeit geleidelijk aan uit tot die van ‘econoom’, ‘talentmagneet’ en ‘orkestrator’ met een duidelijke visie op hoe je moet omgaan met de valkuilen op de drie organisatieniveaus.
Econoom omdat de CISO moet kunnen vertrouwen op gedetailleerde, betrouwbare brongegevens om het cyberrisico te kunnen bepalen in de context van alle andere risico’s en in staat moet zijn om duidelijk de voordelen te schetsen die de gemaakte kosten hebben opgeleverd. De CISO moet aan de raad van bestuur of B&W kunnen verklaren en verkopen waar men de hoogste waarde haalt uit de investeringen in beveiliging, gebaseerd op feiten en cijfers.
Talentmagneet wegens de voortdurende talentenoorlog om beveiligingspecialisten. Uit onderzoek blijkt dat het beroep van digitale veiligheid een substantiële groei doormaakte in zijn wereldwijde gelederen, oplopend tot 3,5 miljoen personen die momenteel in het veld werken, een toevoeging van 700.000 professionals ijn absolute aantallen, is 25% meer dan de schatting van het personeelsbestand van vorig jaar. Dit betekent een afname van het wereldwijde personeelstekort, nu gedaald tot 3,12 miljoen ten opzichte van het tekort van 4,07 miljoen dat vorig jaar werd gemeld. Gegevens suggereren dat de werkgelegenheid in het veld nu met ongeveer 41% moet groeien in de VS en 89% wereldwijd om de talentkloof te dichten, dit is een probleem, met name omdat vakbekwaamheid of co-schappen ook geen harde toelatingseis is in dit vak, zoals we die bijvoorbeeld wel kennen bij advocaten, notarissen en artsen.
Orkestrator omdat ‘risico’s van en door derden’ het grootste risico vormen voor platformgebaseerde bedrijfsmodellen die werken in een breed eco-api-gebaseerd systeem en die duidelijke, vooraf gedefinieerde indicatoren nodig hebben om hun performance over meerdere omgevingen te controleren. Dit betekent dat de CISO de beveiliging van de hele keten dient te orkestreren om een compleet zicht te krijgen op de doeltreffendheid van de beveiligingsmaatregelen. Denk hierbij aan DIGI-D connecties, UWV, SVB, Belastingdienst en andersoortige ketenintegraties waar gegevens uitwisseling plaatsvindt. In mijn laatste boek geef ik 10 succesvolle strategieën om overheidsplatformen beter te beveiligen.
Door deze drie rollen doeltreffend in te vullen kun je relevante conversaties hebben met alle belanghebbenden, ongeacht het organisatieniveau waarop je interactie voert of de onderwerpen die je bespreekt. CISO’s die kunnen bijdragen tot de dialoog over waar men de hoogste waarde haalt uit de investeringen in beveiliging zullen erin slagen de harten van hun bestuurders en toezichthouders te winnen.
Wil je jezelf ook verder bijscholen in digitale transformatie om je organisatie te versterken? Ontdek dan hier onze parttime executive masters & masterclasses.
