CISO verdient strategischere rol en streeft CIO voorbij in organisatiestructuur

Nu cyberincidenten en datadiefstal steeds grotere bedrijfsrisico’s vormen, neemt ook het belang van een CISO in de organisatie toe.Tegelijkertijd ontstaan er ook meer vraagtekens over zijn rol en vooral zijn plaats in organisatiestructuur. Moet de CISO nog steeds aan de CIO rapporteren of verdient hij een meer prominente positie? En hoe moet zijn rol er inhoudelijk uitzien?

Computest CIO CISO
Computest

Dit zijn de drie belangrijkste veranderingen die CISO’s de komende jaren kunnen verwachten als het gaat om hun rol en hun plaats in de organisatiestructuur:

1. De CISO streeft de CIO voorbij in de organisatiestructuur

Chris Hazewinkel, CEO Computest Services Computest

De rol van CIO ontstond in de jaren tachtig van de vorige eeuw toen de PC zijn intrede deed en netwerken steeds crucialer werden voor organisaties. Toen halverwege de jaren negentig de digitale netwerken en infrastructuur opkwam en het aantal security-dreigingen exponentieel toenam, ontstond er pas behoefte aan de rol van een ‘CISO’. Deze werden in die tijd nog vaak security managers genoemd en waren nog  werkzaam binnen het CIO-team. Vaak waren dit IT-experts die ervoor moesten zorgen dat informatie veilig en vertrouwelijk werd verwerkt, opgeslagen en beveiligd. Availability had daarbij voor de organisatie altijd hoogste prioriteit. Alles moest naar behoren werken. Later werden risico’s meer met een bedrijfsbrede aanpak bekeken en dus ook naar de rol van security. Daardoor werd er naast  availability ook naar de confidentiality en integrity van data gekeken en ontstond de  CISO-rol. Omdat de officiële CISO-functie dus pas later ontstond, werd deze in de organisatiestructuur vaak automatisch onder de CIO geplaatst. 

Conflicterende belangen

Deze plek in de organisatiestructuur zorgt er nu echter vaak voor dat de CISO en de CIO op gespannen voet staan met elkaar. De CIO is verantwoordelijk voor de availability van het netwerk en de CISO moet managen op security-risico’s op het gebied van confidentiality, integrity en availability. Je ziet dus dat de CIO in de nieuwe rol van de CISO nu eigenlijk onderdeel wordt van de focusgebieden van de CISO. Als de CISO rapporteert aan de CIO hebben ze dus conflicterende belangen. Bijvoorbeeld bij het patchen van systemen. Niet te vaak patchen is in het belang van de CIO die zo de beschikbaarheid van het netwerk hoog houdt, maar niet in het belang van de CISO die zijn security-risico’s ziet toenemen als dit te lang duurt. 

In de toekomst zullen deze belangen alleen nog maar vaker botsen. Nu het aanvalsoppervlak toeneemt en hackers niet alleen via systemen, maar ook via mensen en processen op zoek gaan naar kritische data, wordt bedrijfsbrede security alleen maar belangrijker. Daarmee neemt ook het belang van de CISO als strateeg en onafhankelijke consultant in de organisatie toe. De plaats van de CISO in de organisatiestructuur moet daarom veranderen. Het moet een business functie worden waarbij begrip van techniek een vereiste is. 

De CISO moet in de organisatiestructuur vaker naast of zelfs boven de CIO komen te staan in een onafhankelijke rol. Het wordt zijn rol business opportunities te begrijpen uit de boardroom, het bedrijfsbrede cybersecurity plan te maken en de implementatie daarvan aan te sturen en erover te rapporteren aan de board.

De uitvoering van dat strategische cybersecurity plan komt terecht bij de CIO als het gaat om availability en bij de privacy officer of legal verantwoordelijke als het gaat om confidentiality en integrity. Daardoor ontstaan er minder conflicterende belangen en krijgt cybersecurity de aandacht die het verdient in de organisatie. 

2. Van technisch inhoudelijke expertise naar kennis van trends en ontwikkelingen

Maar er moet meer veranderen dan alleen de plaats van de CISO in de organisatiestructuur. Nu de rol van de CISO vaak nog grotendeels operationele taken behelst, heeft een CISO vooral technisch inhoudelijke kennis nodig om zijn taken uit te voeren en te garanderen dat de gegevens in de organisatie goed beveiligd zijn. In zijn nieuwe strategische rol moet de CISO in staat zijn zowel de taal van de techniek als die van de business te spreken. Een CISO die 15 jaar een top security engineer is geweest, maar geen business kennis heeft of wil ontwikkelen, is daarbij bij uitstek geen goede CISO. Die kan beter een top engineer blijven. Dit is overigens één van de belangrijkere rollen binnen een bedrijf. 

De CISO van nu heeft minder technische inhoudelijke expertise nodig, maar moet de technische impact van de security-dreigingen van het moment wel beter kennen. Hij zal in de boardroom meer context moeten kunnen geven over de security-dreigingen die spelen en wat de impact is voor de bedrijfsvoering. De benodigde technisch inhoudelijke kennis kan bij de privacy officer en de CIO komen te liggen. 

Meer business kennis

De CISO moet meer studeren op bedrijfsmatige kennis in de toekomst. Het is belangrijk dat de CISO de bedrijfsstrategie kent, de vertrouwenspersoon is van de CEO en begrijpt hoe de organisatie in financieel opzicht werkt. Hij moet weten hoe je goede business cases bouwt en welke metrics hij moet tonen om de board de juiste beslissing te laten nemen. Hij moet begrijpen dat de board om de juiste beslissingen te nemen, eigenlijk alleen wil horen wat de business opportunity is, wat het bijbehorende business risico is, wat de kosten zijn om het risico te minimaliseren en wat de kosten zijn als er onverhoopt toch een breach ontstaat.

3. Van een operationele naar onafhankelijke bestuursrol

De rol van de CISO is nu vaak nog veel te operationeel. De CISO moet in de toekomst een meer strategische, bestuurlijke rol krijgen. De CISO moet toegroeien naar een rol waarin hij fungeert als de onafhankelijke adviseur van de CEO. En dit moet komen vanuit de board. In deze nieuwe bestuursrol zou de CISO de CEO altijd twee vragen moeten stellen:

  • Wat is de impact van deze beslissing op de omzet en winst van de organisatie? 
  • Wat het risico-oppervlak van deze beslissing en hoe is dit risico te voorkomen?  

Een voorbeeld om het belang van deze vragen te illustreren: stel een bedrijf heeft een plan dat een omzetgroei van 10 miljoen euro oplevert. Dat is met een security-risico van 10 procent acceptabel, maar met een security-risico van 90 procent niet meer. De CISO moet in zo’n geval bovenstaande vragen stellen en dan samen met de board kijken of de security-risico’s in balans te brengen zijn met de kansen die er liggen voor het bedrijf. 

Slaagt de CISO erin om deze meer bestuurlijke adviesrol te pakken, dan komt zijn focus steeds meer te liggen op hoogwaardig security-advies en het opzetten en uitvoeren van bedrijfsbrede strategische security-plannen en minder op operationele taken.

De VCISO

Het zou dan ook zomaar kunnen gebeuren dat de rol van de CISO in de toekomst niet langer een fulltime rol is. Dat komt omdat het een adviesrol is voor de board. De CISO maakt het cybersecurity-plan en laat de uitvoer over aan anderen de CIO en de privacy officer bijvoorbeeld. Er ontstaat dan ruimte voor een VCISO, een virtual CISO. Iemand die op afstand op strategisch niveau twee of drie dagen per week meedenkt over de risico’s en security-uitdagingen van de organisatie. Maar zover is het in veel organisaties nog niet.

CISO als enabler voor het succes van de organisatie

Lukt het de CISO zijn kennisniveau aan te passen en zijn nieuwe plaats in de organisatiestructuur effectief te claimen, dan gaat de CISO gegarandeerd een belangrijke bijdrage leveren aan het succes van de organisatie. Een organisatie met een CISO in de juiste strategisch, bestuurlijke rol maakt ieder bedrijf kwalitatief veel sterker. Security-risico’s worden succesvol in balans gebracht met kansen en doordat preventie en detectie al op orde is, is de organisatie in staat sneller en wendbaarder te zijn dan de concurrentie. Dat geeft veel meer vertrouwen voor klanten. Een goede CISO zorgt ervoor dat iedere security-maatregel bijdraagt aan de werknemerstevredenheid en de concurrentiepositie van een bedrijf. Zo kan de CISO een échte strategische bijdrage gaan leveren aan bedrijfsgroei.

Copyright © 2021 IDG Communications, Inc.

The CIO Fall digital issue is here! Learn how CIO100 award-winning organizations are reimagining products and services for a new era of customer and employee engagement.