“Wat doe ik eigenlijk niet?”

Met het eind van het jaar in zicht, maken veel organisaties de balans op. Hoe is het jaar gegaan? Waar focussen we op voor 2023? Een heet hangijzer bij menig organisatie is cybersecurity. De Chief Information Security Officer, ofwel CISO, is hierin onmisbaar geworden. Hij of zij is een sleutelfiguur voor de informatiebeveiliging van organisaties. Maar wat weten we verder over deze rol? Wat is wel of juist niet dagelijkse kost op het CISO-bordje? CISO’s Cees Willemsen van managed services provider UMBRiO, Mark Schoonderbeek van online IT-partner Dustin, Eric Begeer van autonome specialist in slimme en veilige IT-platforms Telindus, en Lodi Hensen, head of incident response & threat intelligence van cybersecuritydienstverlener Tesorion geven een kijkje in hun keuken.

Niet rechtlijnig
Ondanks de belangrijke rol die de CISO inneemt in organisaties, is het een functie zonder eenduidig functieprofiel. Volgens de ervaringsdeskundigen is het maar net waar de organisatie de focus op legt. Cees: “In mijn optiek zijn er drie type CISO’s aan te wijzen: een met een technische achtergrond, een met een businessachtergrond en een die tussen beide probeert de balans te vinden.” Ook Lodi ziet veel verschillen: “Het is net als bij marketeers of ontwikkelaars. Ben je een allround marketeer? Of online- of SEO-specialist? En ontwikkel je front-end, full stack of in een specifieke taal? De functietitel is hetzelfde, maar je kunt de focus op andere onderwerpen leggen. Je ziet dan ook dat mensen die zich CISO noemen, allemaal een ander takenpakket hebben met verschillende verantwoordelijkheden.” Eric vult aan: “Wat hierin meespeelt, is dat ons werk volop in beweging is dankzij nieuwe technieken én uitdagingen. Het werk van een CISO is hierdoor zeer gevarieerd.”

De CISO-takenlijst
Die variatie komt terug in wat de experts omschrijven als het takenlijstje van de CISO. “Een CISO houdt zich onder andere bezig met beleid”, vertelt Lodi. “En je zult hiervoor draagvlak moeten creëren binnen de organisatie. Dat vereist dat je goed bent met mensen en dat je de techniek zodanig snapt dat je een goede gesprekspartner kunt zijn.” Volgens Cees zijn precies die gesprekken heel belangrijk voor de CISO. “Je hebt naast het draagvlak ook de nodige inzichten vanuit de organisatie nodig om optimalisaties en professionalisering door te voeren. Daarom is het van belang om in gesprek te zijn met collega’s, zodat je inzicht krijgt in processen en daarmee de werk- en denkwijze van de organisatie kunt optimaliseren.” Mark sluit zich hierbij aan: “Met phishing-pogingen die steeds persoonlijker en op maat worden gemaakt, moet een CISO verder kijken dan processen en systemen en ook werken aan bewustzijn onder medewerkers. Aandacht geven aan de menselijke kant van informatieveiligheid is heel belangrijk.”

Toch moet de CISO volgens Lodi uiteindelijk de bevoegdheid hebben om beslissingen te mogen nemen. “Als CISO moet je wel mandaat hebben om maatregelen te kunnen en te mogen (laten) implementeren. Anders krijg je situaties waarin je een voorstel doet, een afdeling het oneens is en een andere keuze maakt, en jij er vervolgens op wordt aangesproken als er een incident plaatsvindt.”

Geen klassieke CISO
Maar hoe ziet de dagelijkse praktijk van een CISO eruit? Als de CISO van UMBRiO probeert Cees de balans tussen de business en de technologie continu in het oog te houden. Hij werkt in zijn rol dan ook veel samen met collega’s. “Ik ben veel bezig met het opstellen van beleidstukken en processen om de ontwikkeling en professionalisering van UMBRiO voort te stuwen. Dat raakt natuurlijk het werk van mijn collega’s, dus ik probeer er altijd voor te zorgen om ze hier gaandeweg niet mee te frustreren. Dat vereist goede communicatie. Ik zit dan ook graag met de collega’s om tafel die het beleid in de praktijk moeten brengen, om ze hierbij te helpen en te ondersteunen.”

Cees vindt zichzelf echter geen klassieke CISO. Hij gaat juist aan op de hersenkrakers. “Ik hou ervan om mijn tanden te zetten in iets dat anderen moeilijk vinden of ze nog niet gelukt is. Meestal komt dit neer op het implementeren van structuur. Maar op mijn to-dolijst staan de meest uiteenlopende taken; van onze ISO 27001-certificering tot aan vraagstukken rondom sales, marketing, privacy, security en techniek.”

Gemene delers
CISO Eric ziet de gemene delers in de functiebeschrijving van Cees. Net als Cees houdt hij zich onder andere bezig met de certificeringen van Telindus. “De informatiebeveiliging van gegevens van Telindus en haar klanten staat voorop”, legt Eric uit. “Hierbij is het van belang om onze certificeringen, waaronder ISO 27001, op orde te houden en steeds te verbeteren.” Eric is in zijn rol verantwoordelijk voor de beschrijving van het beleid, de nodige maatregelen én de controle hierop. “Van die controles moeten weer rapportages gemaakt worden, zodat we aan onszelf, onze klanten en auditoren kunnen bewijzen dat we de informatiebeveiliging inderdaad onder controle hebben. Zo ben ik regelmatig betrokken bij RFP’s om vast te stellen of we aan de gestelde eisen voldoen, dan wel welke aanpassingen er nodig zijn.”

Dit alles betekent ook voor Eric veel onderling contact met collega’s van verschillende afdelingen. “Denk aan de directie die uiteindelijk verantwoordelijk is voor het beleid en de uitvoering ervan, of de salesafdeling voor klantvragen. Maar mijn rol vereist ook dat ik bezig ben met het bewustzijn van collega’s op het gebied van informatiebeveiliging. Eigenlijk kun je mij een manusje van alles noemen”, zegt Eric gekscherend. “Want wat doe ik eigenlijk niet?”

Niet één, maar drie
Waar Cees en Eric als CISO’s uniek zijn in hun functie, is dat bij Dustin anders. Zij benutten de diversiteit aan invullingen voor de rol van CISO volledig. Er lopen maar liefst drie CISO’s in de organisatie rond. “We hebben alle drie behoorlijk verschillende achtergronden en combineren onze ervaring en kennis juist voor maximaal effect”, vertelt Mark. “Het is goed om andere onderwerpen te bespreken en daarbij ook andere perspectieven te horen. Daarnaast heeft het ook een pragmatische kant; er is altijd een CISO aanwezig.”

Als CISO bij Dustin combineert Mark zijn securitykennis met kennis over de infrastructuur- en business van de organisatie. Dat er een gezonde balans moet zijn tussen veiligheid en de business staat volgens hem buiten kijf. “In mijn rol overleg ik veel met de infosecurityteams, policy- en internationale teams binnen Dustin om alles goed te integreren. Er zijn verschillende mensen die vanuit een functionele lijn aan ons als CISO-organisatie rapporteren. Zij werken op gebieden als compliance, technische security, maar ook de zakelijke kant.” De rol van CISO hoeft dus niet per se bij één persoon belegd te worden. Soms past het beter bij een organisatie om de informatiebeveiliging op een andere manier in te vullen, bijvoorbeeld door het te verdelen over meerdere mensen.

Een security office
Zo ook bij Tesorion, waar de informatiebeveiliging niet meer vanuit een CISO gewaarborgd wordt. Lodi: “We werken niet meer met een CISO, omdat het binnen onze organisatie niet goed past. We hebben een security office met mensen uit verschillende afdelingen en specialistische kennis. Hierdoor stellen we vanuit verschillende invalshoeken een advies voor de organisatie op, wat in de praktijk sneller wordt geaccepteerd door de business.” Is er een (potentieel) incident of een verhoogd dreigingsniveau? Dan wordt de samenwerking opgezocht met het compliance office. “Hiermee voorkomen we dat we een eenmalige oplossing bedenken, maar dat de oplossing juist structureel wordt meegenomen in de manier waarop Tesorianen werken.”

Toch is de rol van CISO niet helemaal weg uit de organisatie. Lodi: “We hebben een aantal consultants die als CISO werkzaam zijn voor andere bedrijven. Dat kan fulltime voor één bedrijf zijn, of met CISO as a Service voor meerdere organisaties.”

Het verwachtingspatroon managen
Het mag duidelijk zijn dat de rol van CISO in organisaties ondanks de gemene delers niet vastomlijnd is. “Het is dus heel belangrijk om het verwachtingspatroon en het profiel te managen”, concludeert Lodi. Eric vult aan: “Want de bedreiging van netwerken en informatie neemt nog steeds toe en de toegebrachte schade groeit snel. Hoe meer ‘deuren’ en ‘sloten’ cybercriminelen tegenkomen, hoe langer het duurt voordat ze bij gevoelige data komen. Daarom moet elke collega ervoor zorgen dat apparatuur up-to-date is, inloggegevens veilig zijn opgeslagen en dat hij of zij nauwkeurig controleert of dat vreemde e-mailtje wel echt van de klant afkomstig is.” En daar speelt de CISO – of dat er nu één, twee, drie of een heel office zijn, een sleutelrol in.