Omdat cyberbeveiliging een steeds belangrijkere overweging is geworden bij de besluitvorming van bedrijven, is er een overeenkomstige stap gezet om de rol van de Chief Information Security Officer (CISO) naar een hoger punt in de uitvoerende hiërarchie te tillen. De redenering lijkt te zijn: “Als cyber belangrijk is, moeten CISO’s ook belangrijk zijn.” Door de rol naar een hoger niveau te tillen, wordt de CISO echter een eenzame stem in de woestijn die roept over ‘veiligheid’, met weinig verbinding met de dagelijkse besluitvormers op het gebied van IT, engineering of producten.
Dit heeft tot enkele ongewenste gevolgen geleid, zoals de Facebook-topman die het oké vond dat de beveiligingsmaatregelen van het bedrijf genomen werden veroorzaakte urenlange vertragingen in reactie op de storing van 4 oktober 2021, of de Uber-directeur die hackers afbetaald die zijn systeem heeft geschonden in plaats van de inbreuk te erkennen, of de talrijke CISO's die hebben geïnvesteerd in “extra beveiligingslagen” in plaats van toe te geven dat ze in eerste instantie slechte keuzes hebben gemaakt. In al deze gevallen speelde de isolatie van de CISO ten opzichte van functionele bedrijfseenheden ongetwijfeld een rol in het tunneldenken dat deze beslissingen weerspiegelen.
Organisatorische impact
Misschien is het tijd om de rol van de CISO opnieuw te bekijken. Misschien is het beter om het belang van de CISO weerspiegeld te zien in de impact van de organisatie, in plaats van in de status van de organisatie. Wellicht leidt het inbedden van beveiliging in functionele eenheden tot een betere beveiliging.
Stel je de CISO voor als onderdeel van het ecosysteem van de IT-organisatie. Ze zouden betrokken worden bij elke beslissing over de infrastructuur, en veiligheidsoverwegingen zouden integraal deel uitmaken van die beslissingen, in plaats van achteraf aangepakt te worden. Dit zou een reeks ‘beveiligingsoplossingen’ mogelijk maken, gebaseerd op de manier waarop het netwerk is gestructureerd en beheerd, in plaats van op speciale beveiligingsmogelijkheden die door een externe groep in de infrastructuur zijn ingebracht.
Stel je een beveiligingsexpert voor die ingebed is in de softwareontwikkelingsorganisatie. Ze zouden het ontwikkelingsproces kunnen verfijnen om ervoor te zorgen dat code wordt geschreven en getest met het oog op veiligheid, zonder de ontwikkelaars op te zadelen met processen die hen vreemd zijn, waardoor de kwetsbaarheden in de bedrijfscode worden verminderd. Stel je een beveiligingsexpert voor, ingebed in productlijnen. Ze zouden ervoor kunnen zorgen dat de bedrijfsinfrastructuur hun IP beschermt en dat hun ontwikkelingsproces de kwetsbaarheden in hun product vermindert.
In al deze gevallen wordt veiligheid een factor bij bedrijfsbeslissingen die gebaseerd zijn op de realiteit van bedrijfsactiviteiten. De technische expertise van de CISO wordt een integraal onderdeel van het dagelijkse werk en wordt niet zozeer een beperking die daaraan wordt opgelegd. Op dezelfde manier moeten beveiliging en compliance naadloos samenwerken, zodat financiële systemen en communicatie met partners en leveranciers veilig blijven. Dit strekt zich uit tot telecomsystemen en andere hardware.
De risicofactor
Dit lijkt een meer impactvolle manier om van de technische dimensie van beveiliging een krachtige stem te maken in de uitvoering van bedrijven. Je kunt je echter afvragen of dit de beleidsdimensie zal verkleinen en deze zal balkaniseren om tegemoet te komen aan de speciale belangen van individuele functionele eenheden. Deze zorg kan worden weggenomen door de rol van de Chief Risk Officer uit te breiden met de veiligheidsbeleidsfuncties die momenteel door de CISO worden uitgevoerd.
Dit heeft als voordeel dat het beveiligingsbeleid op C-niveau blijft, waar het de aandacht krijgt die het nodig heeft. Het heeft verder het voordeel dat cyberveiligheidsrisico's worden bekeken in de context van andere risico's (risico voor de beschikbaarheid, risico voor de reputatie, om de bovengenoemde gevallen aan te pakken). Veiligheid zou niet langer een doel op zich zijn, maar een dimensie van zakendoen. Dit betekent niet dat de beveiliging het moet opnemen tegen andere problemen en aanpassingen moet maken die de beveiligingspositie van de organisatie in gevaar brengen. Integendeel, het creëert een omgeving waarin de of/of-mentaliteit wordt ingeruild voor een mentaliteit die aan alle eisen wil voldoen.
Er zijn talloze toegangscontroletechnologieën die Facebook effectief zouden hebben beschermd zonder het eigen personeel buiten te sluiten. Wanneer het veiligheidsrisico samen met het beschikbaarheidsrisico wordt beschouwd, zouden de meer pragmatische oplossingen naar voren komen.
