Het probleem met de CSO-functie

Vraag een IT-securityprofessional naar de grootste uitdagingen van het afgelopen decennium en hij zal je ongetwijfeld antwoorden dat één van de grootste hobbels het verkrijgen van support uit de business is om de organisatie te kunnen beschermen.

Vaak is de grootste oorzaak van ondeugdelijke beveiliging het gebrek aan budget. Daarnaast wordt vaak aangegeven dat security geen plek aan de bestuurstafel toebedeeld krijgt.

Vele securityteams voelen zich een ondergeschoven kindje binnen hun organisatie. "Veel bedrijven zien cybersecurity als een IT-probleem en niet als businessprobleem", zegt CEO Brian Honan van adviesbureau BH Consulting. "Als je nagaat hoe afhankelijk bedrijven zij van IT en hoe belangrijk de informatie is die op deze systemen staat, dan moeten organisaties begrijpen dat cybersecurity een businessprobleem is", vindt Honan.

Toch weten huidige CSO's en CISO's deze boodschap niet voor het voetlicht te brengen. Zij hebben de taak het senior management van het belang van security en de benodigde investeringen hierin te overtuigen, maar slagen daar kennelijk niet in. De securitymanagers die wij spraken zijn het daar mee eens. "Het probleem van gebrekkige security heeft niet te maken met een gebrek aan security leiderschap bij businessbestuurders", zegt analist Mike Rothman van Securosis. "Businessbestuurders handelen naar de belangen van de business. Als het securityteam niet de case kan maken voor een investering in security, dan is dat hun eigen schuld - niet die van de leiders van de business."

Anderen zij het daarmee eens en schuiven de CSO de schuld in de schoenen. "Ik maak me zorgen over CSO's die zeggen dat een gebrek aan leiderschap maakt dat hun securityprogramma's niet ten uitvoer worden gebracht", zegt Honan. Hij vervolgt: "De CSO is de persoon bij uitstek verantwoordelijk voor securityleiderschap binnen een organisatie en de verantwoordelijke man die met zorgen voor begrip van informatiebeveiliging onder zowel bestuurders als gebruikers binnen de organisatie. Als de CSO vindt dat de organisatie ongevoelig is voor zijn leiderschap, dan is de CSO de verkeerde persoon voor de organisatie of andersom."

De business luistert niet

Uiteraard zijn er businessbestuurders te vinden die weinig ophebben met security risicomanagement. Dat kan komen door bestaande organisatorische hiërarchieën. Securityanalist Javvad Malik van de 451 Group liet onlangs met een onderzoek zien dat CISO's niet effectief de informatierisico's binnen hun organisatie kunnen beheersen, al is dat vaak niet hun eigen schuld. "De resultaten laten zien dat CSO's en CISO's onvoldoende bijdragen aan de securitydoelstellingen binnen een organisatie. Vaak komt dat omdat ze geen echte C-level bestuurders zijn. Ze moeten veelal rapporteren aan een CIO of CFO."

Daarbij komt ook nog eens dat er vaak een conflict in belangen ontstaat tussen de CISO en de CIO als het gaat om budgetverdeling tussen security- en IT-projecten vanuit hetzelfde potje.

Positieve ontwikkelingen

Gelukkig voor de CSO's zijn tijden aan het veranderen. Uit recent onderzoek van CSO Magazine blijkt dat 46 procent van alle securitymanagers merkt dat organisaties afgelopen jaar meer waarde zijn gaan hechten aan riskmanagement, terwijl 61 procent verwacht dat deze verbetering dit jaar zal plaatsvinden. Het onderzoek laat zien dat hoe groter de organisatie, hoe belangrijker het seniormanagement risicomanagement vindt.

74 procent van de securityprofessionals die geïnterviewd werden heeft een toename in de hoeveelheid tijd gemerkt die ze doorbrengen met securitymanagers en businessbestuurders om securitygerelateerde problemen op te lossen en 79 procent verwacht dat die tijd komende jaren alleen maar zal toenemen.

Met deze aandacht voor security is het belangrijk deze kans aan te grijpen en vertrouwen te winnen. "Security kan een organisatie helpen doelstellingen te verwezenlijken. Onderdeel van het winnen van vertrouwen is je realiseren dat niet alles de voornaamste prioriteit kan hebben. Businesses kijken naar specifieke problemen, bepalen de potentiële impact daarvan onder de streep en bepalen op basis daarvan wat er gedaan moet worden aan het issue, als er al überhaupt iets gedaan moet worden.

De toegevoegde waarde van CSO-leiderschap ligt op gebied van het bepalen van waar security meer effort vereist en risicoreductie nodig is. Hij of zij moet de business op dat pad begeleiden.

Related:

Copyright © 2014 IDG Communications, Inc.

Discover what your peers are reading. Sign up for our FREE email newsletters today!