De recente veroordeling van Joe Sullivan, de Chief Information Security Officer (CISO) van Uber wegens het niet melden van het datalek van het bedrijf in 2016, kwam voor sommigen als een onwelkome verrassing en voor anderen als een gerechtvaardigd gevolg van de acties van de heer Sullivan.
Als mede-CISO en leider op het gebied van informatiebeveiliging gedurende meer dan 30 jaar, respecteer ik Sullivans indrukwekkende carrière en sta ik tegelijkertijd volledig achter het vonnis. Sullivan bevond zich in een ethisch dilemma waar de meeste CISO's vroeg of laat mee te maken krijgen. Hoe een CISO besluit om met dat dilemma om te gaan, kan zijn carrière maken of breken.
Wat zijn de verantwoordelijkheden van een CISO?
De rol en verantwoordelijkheden van de CISO evolueren voortdurend en worden nog meer onder de loep genomen dankzij de groeiende publiciteit rond grote inbreuken, zoals die bij Uber.
Voor CISO's die nadenken over wat deze recente gebeurtenissen voor hen betekenen, is dit een geschikt moment om drie belangrijke vragen te stellen.
1) Wat is mijn verantwoordelijkheid als CISO bij een datalek?
Hoewel de Uber-proef de rol van de CISO misschien scherper heeft gemaakt, denk ik niet dat het de verantwoordelijkheid of aansprakelijkheid die aan de rol is verbonden, verandert. Wanneer er zich een inbreuk voordoet, is de verantwoordelijkheid van de CISO duidelijk: wees transparant en geef alle nodige informatie. Soms zijn deze openbaarmakingen verplicht gesteld door regelgevende instanties, en soms worden ze door het bedrijf gewoon als een verantwoorde openbaarmaking aan zijn kiezers beschouwd.
Ik weet niet of Sullivans eerste reactie was om de juiste actie te ondernemen en de inbreuk te melden zoals wettelijk vereist. Gezien zijn lange carrière hoop ik zeker dat dat het geval was. Dat gezegd hebbende, afhankelijk van de rapportagestructuur binnen het bedrijf, hebben veel CISO's misschien niet het laatste woord over de vraag of het bedrijf de inbreuk zal onthullen. Zoals vaak het geval is, kan de CISO worden overstemd en onder druk worden gezet om een manier te vinden om de inbreuk te herformuleren als iets anders dan een inbreuk. Deze herformulering kan het bedrijf helpen mogelijke negatieve gevolgen te voorkomen, waaronder boetes van de regelgevende instanties, herstelkosten (bijvoorbeeld het verlenen van kredietbewakingsdiensten aan getroffen klanten) en impact op het vertrouwen van klanten en de bedrijfsreputatie.
Een inbreuk wordt, geheel terecht, gezien als een falen van het bedrijf om de gegevens die werden geschonden te beschermen. Het kan uiteindelijk ook worden gezien als een mislukking van de CISO. Dit roept de eeuwenoude vragen op: waar stopt de verantwoordelijkheid? En wie draagt de uiteindelijke verantwoordelijkheid voor de inbreuk? Hoe dan ook, het is voor een bedrijf niet eenvoudig om toe te geven of bekend te maken.
Het ethische dilemma van de CISO is: behoud ik de integriteit van mijn rol en volg ik mijn verantwoordelijkheid? Of probeer ik het incident te herformuleren zodat mijn bedrijf de gevolgen niet draagt?
Ik zou graag denken dat als ik in de schoenen van Sullivan zou staan, ik bereid zou zijn mijn functie neer te leggen in plaats van de integriteit van mijn rol en, eerlijk gezegd, het vertrouwen van mijn kiezers te schenden. Om de Amerikaanse president Harry S. Truman te parafraseren: "De verantwoordelijkheid voor cyberbeveiliging stopt bij de CISO."
2) Wat is het plan van mijn bedrijf voor wanneer (niet als) we worden geschonden?
Als CISO voor een beveiligingsleverancier ken ik maar al te goed de motivatie en vastberadenheid van slechte actoren en natiestaten. Ik begrijp ook hoe groot de kans is dat organisaties het slachtoffer worden van een aanval — organisaties moeten ervan uitgaan dat ze worden geschonden. Wat ga je doen als dat gebeurt?
Door worstcasescenario's aan te pakken en een noodplan te hebben voordat u wordt geschonden, kunt u de financiële en operationele gevolgen minimaliseren wanneer u dat doet. Wat zijn de kosten van downtime als een aanvaller uw klantenondersteuning of supply chain-operatie offline haalt? Waar zijn uw systemen het meest kwetsbaar? Hoe houd je de schade binnen de perken en hoe snel herstel je? Hoe communiceer je wat er is gebeurd met je medewerkers, klanten en de directie?
De CEO en andere bedrijfsfunctionarissen moeten proactief samenwerken met de CISO om deze vragen aan te pakken en een alomvattend plan te ontwikkelen dat gereed is wanneer zich een inbreuk voordoet. Onmiddellijke actie - en eerlijkheid - tellen bovenal. Maar zo'n plan zal alleen succesvol zijn als het ruim van tevoren is gemaakt, doorgelicht en geoefend.
3) Wat is mijn rol binnen de raad van bestuur?
Het meest Veerkrachtige bedrijven committeren zich aan veiligheid aan de top en drijf het door elk niveau van de organisatie. Dit betekent het opzetten van een sterke cybersecurity-cultuur, zowel bij het bestuur als bij de medewerkers. Veel CISO's hebben misschien te maken met de vooroordelen van raden van bestuur die zeggen: "dat zal ons nooit overkomen" of "het gaat toch gebeuren, dus waarom investeren in cyberbeveiliging".
Beheer de CISO-relatie als een zakelijke relatie
Een manier voor CISO's om hun relatie met het bestuur te verbeteren, is door te dienen als brug tussen technologie en het bedrijfsleven. We moeten het bestuur laten zien dat we cyberbeveiliging beheren als een zakelijk risico en dat we ons afstemmen op de prestaties, groei en andere zakelijke doelen van de organisatie. Zorg ervoor dat u zakelijke termen en resultaten gebruikt, niet alleen technische acroniemen en concepten. Help de vraag te beantwoorden "Waarom zou ik hier om geven?" En als u erin slaagt middelen te krijgen van het bestuur, is het belangrijk om een rapport op te stellen dat de gevraagde middelen koppelt aan de bedrijfsresultaten en de resultaten die daarop volgden.
In mijn eigen ervaring is het, om het meest effectief te zijn, belangrijk voor de CISO om een relatie met hun bestuursleden te koesteren buiten de regelmatig geplande vergaderingen om. Dit geeft ons de mogelijkheid om beter te begrijpen wat onze bestuursleden van de CISO verwachten, en ook om het bestuur op te leiden. Uiteindelijk gaat het in de praktijk van cyberbeveiliging om het beheersen van risico's, maar de waarheid is dat we risico's nooit volledig kunnen elimineren. Dagelijkse krantenkoppen hebben elke CISO in de problemen gebracht. De CISO heeft een lastige taak: ze moeten de dagelijkse verdediging van hun organisatie beheren en tegelijkertijd een actieplan opstellen voor die onvermijdelijke toekomstige aanval. Er is integriteit en eerlijkheid voor een CISO nodig om vandaag succesvol te leiden en te gedijen in deze uitdagende en kritieke rol.
