De vele gezichten van de CISO

Welk type security-officer ben (of wil) jij?

De vele gezichten van de CISO

Je zoekt naar een security officer, maar die moet wel een beetje bij je organisatie en je bedrijfscultuur passen. De ideale CISO bestaat niet, maar deze types wel.

Veel organisaties hebben moeite met het vinden van een bekwame Chief Information Security Officer, ofwel CISO. De spin in het web als het gaat om de beveiliging van informatie. De CISO heeft niet alleen kennis en ervaring op het gebied van informatiebeveiliging, risicoanalyse en specialistische beveiligingstechnieken, maar is ook op de hoogte van relevante wet- en regelgeving. Ook kan de eindbaas security goed samenwerken met verschillende disciplines op alle niveaus. Uiteindelijk streeft elke organisatie naar deze perfect omschreven CISO, maar ‘in het wild’ is niemand hem nog tegen gekomen. De kans is groter dat het een van de volgende types zijn:

De fixer
Deze fixer is heel erg goed in problemen oplossen en digitale brandjes blussen. Wat het probleem ook mag zijn, de fixer zit er bovenop. Al snel worden alle incidenten volledig aan deze CISO overgelaten, want ‘dan komt het namelijk wel goed’. Indien het management aan hem vraagt wat nu het probleem was, antwoordt hij snel: “Geen zorgen, de oorzaak heb ik al weggenomen.” De fixer is een belangrijke asset voor een organisatie, want hij lost alle problemen op en help iedereen uit de brand. Echter, hij ziet nog wel eens over het hoofd dat er preventief ingegrepen had moeten worden, in plaats van pas in actie komen wanneer de eerste vertrekken al in lichterlaaie staan. Want rookmelders? Nooit over nagedacht.

De politieagent
De favoriete woorden van de politieagent zijn: “Stop. Dit gaan we dus niet doen.” Onder het bewind van de politieagent worden de meeste projecten afgekeurd. Hij informeert het management maar al te graag over hoeveel projecten hij tot een halt heeft geroepen. In eerste instantie denkt het management nog: die heeft verstand van zaken. Maar al snel merken zij dat de politieagent de meeste tijd spendeert aan op zijn fluitje blazen en dat zorgt voor een hoop interne escalaties. Zijn motto: ”Als we niets doen, kan er ook niets fout gaan”. Nee, maar verder komen we ook niet.

De ambtenaar
Elke organisatie heeft baat bij heldere processen. Die zijn namelijk nodig om projecten tot een goed einde te brengen. Echter, de ambtenaar is zo op het proces gefocust, dat hij compleet los komt te staan van de inhoud en voor onnodige complexiteit zorgt. Welke procedure moeten we volgen? Welke formulieren moeten worden ingevuld? Deze vragen houden de ambtenaar de hele dag bezig. Iedereen weet dat procedures nodig zijn, maar de ambtenaar zorgt met name voor de beruchte ‘paarse krokodil’ in de organisatie. Deze CISO weet elk project om zeep te helpen met een enorme hoeveelheid documenten en in te vullen formulieren. Resultaat: compliant maar niet secure.

De angstzaaier
De angstzaaier is cum laude geslaagd voor dramakunde. Volgens deze doemdenkers wijst alles erop dat er op dit moment een serieuze security threat is en het is de schuld van: cybercriminelen en -spionnen, de gebruikers, de developers, de managers, de media, de wereld. Goed om iemand in de organisatie te hebben die weet welke gevaren er allemaal op de loer liggen, maar altijd maar uitgaan van een worst case-scenario zorgt voor een lamgeslagen gevoel binnen de organisatie. Want wat moeten ze nu concreet doen? De angstzaaier moet leren het management niet alleen te informeren over de potentiële dreigingen, maar ook over de oplossing. Voorbeeld: “Ja, er was een serieus beveiligingsprobleem, maar geen zorgen. IT heeft het al gepatcht.”

De techneut
Bij de techneut draait alles om details. Ze hebben een enorme hoeveelheid kennis op het gebied van cybersecurity, maar communiceren? Niet zijn ding. Indien een board member de techneut vraagt om iets meer uitleg over dat ene project dat al een paar maanden loopt, is de techneut vervolgens een uur bezig met het verschil uitleggen tussen authenticatie en autorisatie. Okay, hij kan misschien wel communiceren, maar eigenlijk alleen als het over techniek gaat. Een organisatie heeft juist baat bij iemand die ook in staat is om informele gesprekken te voeren, relaties op te bouwen en samen te werken met andere disciplines binnen de organisatie.

De ideale CISO
Wie van deze typen is nu de ideale CISO? Grotendeels heeft de perfecte CISO de eigenschappen van de digitale brandjesblusser. Het is een beetje een politieagent, maar wel een die ook daadwerkelijk projecten oppakt. Niemand is echt fan van de ambtenaar, maar we hebben uiteindelijk wel processen nodig. Daarnaast moet de CISO de organisatie ook op een gezonde manier op de hoogte brengen van potentiële dreigingen. Echter, het is de kunst het management niet alleen te vertellen over het grote boze internet, maar ook met oplossingen te komen. Bovendien moet de CISO niet alleen verstand hebben van techniek, hij moet het ook nog kunnen uitleggen.

En inderdaad, deze beschrijving neigt naar het bekende schaap met de vijf poten. De kans dat een organisatie een CISO vindt die 100 procent aan al deze criteria voldoet is helaas dus zo goed als nihil. Uiteindelijk is het belangrijk dat een CISO weet wat er in de organisatie gaande is. Empathisch vermogen is daarbij belangrijk. Je hoeft dus niet picture-perfect te zijn, maar het is aan de CISO om uit te zoeken wat er belangrijk is binnen zijn organisatie en een adviserende rol aan te nemen richting het management. En soms lost een CISO de dagelijkse uitdagingen op door te handelen als een van de omschreven types.

Nu bij Fox-IT

Neem contact op

+31 (0) 15 284 79 99

fox@fox-it.com

Delft