Dit artikel is gepubliceerd in AGConnect nummer 1/2 -januari/februari 2022
Digital Security is niet langer het werkveld van een enkeling. De bedrijfsrisico’s zijn groot en niet alleen security professionals moeten aan de slag om informatiebeveiliging goed in te regelen, ook de IT’er en alle andere medewerkers. Informatiebeveiliging slaagt alleen als iedereen precies doet wat zij of hij moet doen. Of vooral: Mag.
Het belang en het speelveld van digital security zijn groot. De kernbedrijfsvoering van organisaties kan door onjuiste configuratie, een te late patch of een menselijke fout te maken krijgen met een flinke uitval (Universiteit Maastricht, etc). Ook kan een kwetsbaarheid bij een (toe)leverancier leiden tot een security incident of data breach (Kaseya, Solarwinds). En eind vorig jaar was er het voorbeeld van Log4j, waarbij de wereld op zijn kop kwam te staan. Tijdens en na een security-incident moet snel en adequaat actie ondernomen en moeten stakeholders tijdig en juist geïnformeerd. Duidelijk is dat digital security een apart vakgebied is geworden, dat vraagt om duurzaam leiderschap om succesvol te kunnen zijn. Dat moet aandacht hebben voor zowel techniek, processen, procedures, mensen, veranderprocessen, financieel beheer, stakeholdermanagement als communicatie
EIGENSCHAPPEN VAN DE DUURZAME CISO
Digital Security is een volwassen vakgebied geworden. Vergelijkbaar met dat van de Chief Financial Officer die aan het einde van het jaar ‘reasonable assurance’ moet kunnen afgeven over het financiële welvaren van zijn bedrijf. Het is een taak die er niet eenvoudiger op wordt naarmate de omvang van de orga- nisatie toeneemt. Voor de CISO geldt dat alle voornoemde facetten binnen digital security zodanig moeten worden bestuurd, dat de mate van beveiliging van een organisatie aansluit bij de strategie en het risicoprofiel van de organisatie, en dit tegen zo optimaal mogelijke kosten. Net als de CFO kan de CISO dit niet op de achterkant van een bierviltje berekenen. De CISO heeft een governance structuur nodig, een foutloos proces om operationele statussen op te halen uit de operatie en een vergevorderde discipline van maand- en jaarsluitingen. Het goed neerzetten van deze structuur en processen zorgt voor een duurzame securityorganisatie. Om dit te bewerkstelligen heeft vooral ook Digital Security een echte leider nodig die in staat is verder te kijken dan alleen het implementeren van een tool of het ‘implementeren van een raamwerk’ zoals de ISO of de BIO.
COMMUNICEER JE VISIE
Elke verandering, nieuw product of dienst begint met een visie. Dat geldt ook voor digital security. Een visie waarmee de medewerkers van een organisatie zich kunnen identificeren en waarbij ze een positieve emotie hebben, is noodzakelijk om mensen mee te krijgen naar die stip op de horizon voor Digital Security. Deze stip moet verder gaan dan de noodzaak om te voldoen aan BIO- of COBIT-raamwerken of andere wet- en regelgeving zoals de AVG. Een goed hulpmiddel voor strategieformulering kan bijvoorbeeld de “Golden Circle” van Simon Sinek zijn, met de Why, What en How rondom security. In de praktijk hebben we ervaren dat wanneer je als eerste een structuur en proces neerzet binnen een organisatie, het beantwoorden van de waarom-vraag extreem relevant is.
MEDEWERKERS LEIDEN
Het belangrijkste aspect in Digital Security is de mens. Hoewel waarschijnlijk nog niet eens 5% van securitybudgetten naar de mens gaat, veroorzaken menselijke fouten bijna alle security-incidenten. Het is dus niet meer voldoende om alleen de eindgebruikers periodiek een security awareness-training te laten doen, IT-medewerkers moeten ook veiliger gaan werken. Mensen veranderen is alleen het moeilijkste wat er is, niet voor niets is verandermanagement een aparte wetenschap. Het is van belang om het securitybewustzijn -maar beter nog het securitygedrag van eindgebruikers en IT’ers- te zien als een doorlopend veranderprogramma, niet als een eenmalige training. Mensen moeten worden begeleid in hun emotionele veranderproces. Een goed voorbeeld hiervan is de Kübler-Ross verandercurve. Deze curve doorloopt de verschillende emotionele fasen die een mens ondergaat gedurende een verandering en hebben allen een ei- gen interventie nodig. De fases zijn: Schok – Ontkenning – Boosheid – On- derhandelen – Depressie – Acceptatie – Nieuw Begin. Als leider van Digital Security is enige kennis van gedragsverandering en de eigen veranderbereidheid een absolute noodzaak. Een leider moet zijn eigen waarom-vraag dus als eerste goed aan zichzelf kunnen beantwoorden.
ZET TECHNOLOGIE OP EEN SLIMME MANIER IN
Binnen Digital Security en riskmanagement is men gewend om voor elk risico een nieuwe tool of procedure te implementeren. We noemen dat de papieren werkelijkheid. Echter, veel moderne technologieën hebben reeds meerdere beveiligingsmogelijkheden in zich, die nog niet optimaal worden gebruikt.
Dit goed utiliseren van techniek gebeurt zelden. Uit ervaring weten we dat een bedrijf gemiddeld zo’n zeventig tools voor security in huis heeft en daarvan maar de helft volledig benut. En dat ook slecht de helft van die aankopen gebaseerd is op een business case: een enorm snijverlies dat optreedt in de IT-operatie. Ook zou je kunnen overwegen je technologie keuzes niet meer te bepalen op basis van ‘best of breed’ maar bijvoorbeeld op ‘best of suite’. Belangrijk is te kijken naar welke oplossing het meest adequaat en economisch verstandig aansluit bij de aanwezige risico’s. Dit economisch modelleren van securitytechnologie is een vak apart.
RICHT JE OP DE RISICO’S DIE VEEL DOEN
Binnen risk management en security zijn we geneigd alles te analyseren en onszelf helemaal gek te maken met ontelbare tekortkomingen. Soms wordt dit gekmaken veroorzaakt door externe toezichthouders, die de druk behoorlijk kunnen opvoeren. Het is beter dit spel om te draaien en zelf achter het stuur te gaan zitten. Eerst in samenwerking met management en stakeholders bepalen waar de echte risico’s zitten, vervolgens daar grote wins scoren. We gebruiken hiervoor de Group Support System-aanpak, waarover we eerdere ook hebben geschreven. Niet alleen zorgt een win voor een positieve ‘smell of the place’ [1] bij de stakeholders, ook wordt zo op een juiste manier omgegaan met de beperkte resources en budget. Een olifant eet je immers ook niet ineens op, maar in stukjes.
DE DUURZAME CISO
Hoewel de security professional natuurlijk de uitgelezen persoon is om resultaat te boeken, is het betrekken van het management en het beïnvloeden van gebruikers van essentieel belang voor succes. Management wil graag weten waar het geld naar toe gaat en of het van toegevoegde waarde is. Daarnaast wil het graag ook de eigen toegevoegde waarde zien. Misschien vinden de bazen het bovendien een heel mooi onderwerp en willen ze er meer van weten. Daardoor kunnen ze zelfs je grootste pleitbezorger worden.
Nog te vaak klagen CISO’s en security-professionals dat er onvoldoende budget is om te doen wat ze zouden willen. Onze ervaring is dat het met name te maken heeft met prioriteiten van de mensen die beslissen over de budgetten, in bepaalde gevallen ook met de gunfactor. Echter: wanneer de business case, de waarde en de noodzaak van een noodzakelijke investering duidelijk worden uitgelegd aan de budgethouders, is geld naar onze ervaring eigenlijk nooit het probleem.
Alle genoemde eigenschappen van ‘de duurzame CISO’ zijn natuurlijk niet altijd volledig aanwezig in een persoon, dat is ook niet altijd nodig. Het type CISO is ook afhankelijk van de omvang van de organisatie, grootte van het IT-landschap, of de organisatie onder toezicht staat of niet, een overheidsinstelling is of niet, et cetera. De keuze van een CISO die de organisatie helpt een structuur neer te zetten die naast duurzaamheid ook snelheid en kwaliteit voorstaat lijkt evident maar is niet altijd eenvoudig. De weg die de financiële functie heeft afgelegd naar wat hij nu is, is er een van bijna honderd jaar. Door regels en evolutie is de rol van de CFO verder geprofessionaliseerd. De CFO weet dus als geen ander hoeveel profijt hij of zij heeft van een goede CISO-keuze voor de organisatie. De CFO kan daarom stiekem wel eens de beste bondgenoot en adviseur zijn van de duurzame CISO.
[1] Professor Sumantra Ghoshal verwijst naar “de geur van de plaats”. Ghoshal vergelijkt culturen van angst en druk binnen corporates met zomers in Calcutta. Deze zomers zijn te warm, ongeïnspireerd en het enige wat je wil is niets doen, of de stad uit. Hij ziet de zomers in Fontainebleau als plek van inspiratie, innovatie en duurzaamheid. YouTube: https://youtu.be/ YgrD7yJwxAM