De Chief Information Security Officer van morgen: op zoek naar een duizendpoot
Met de intrede van security in de boardroom wordt de vraag actueel hoe dit onderwerp te duiden. Hoe specificeren we het? Wie is verantwoordelijk en aansprakelijk? Dit is noodzakelijk om greep op de materie te krijgen.
Het duiden is vooral lastig omdat de kritische assets (in dit geval data) doorgaans niet als zodanig op de balans staan en dus ook niet in het jaarverslag terugkomen. Zelden wordt de goodwill van de data op de balans tot uitdrukking gebracht. Daarom staat dit onderwerp in de meeste gevallen ook niet op het netvlies van de bestuurder (Raad van Bestuur) of de toezichthouder (Raad van Commissarissen). Incidenten waarbij de bestuurdersaansprakelijkheid nadrukkelijk aan de orde is, komen vooral via de media naar buiten (denk aan RSA, Gemalto, ASML, NZA, Sony, ING) en zorgen daarmee voor de urgentie om meer grip te krijgen op dit fenomeen.
Dat blijkt anno 2014 nog steeds lastig. De belangrijkste oorzaak hiervan is dat de bestuurder nog altijd onvoldoende wordt gevoed met input om een gefundeerde discussie te kunnen voeren. De CISO ofwel de Chief Information Security Officer zal hier in toenemende mate een rol vervullen, enerzijds als adviseur en anderzijds als sparring partner van het bestuur. De vraag is of de CISO-van-morgen wel over de juiste kennis en kunde beschikt en of de huidige opleidingen voldoende zijn toegerust op dat wat de moderne CISO moet kunnen en kennen.
De CISO van vandaag
In 2013 heb ik een grootschalig onderzoek uitgevoerd om te verkennen wat de strategische kernvraagstukken zijn waar security professionals mee te maken hebben. Ik wilde vaststellen over welke kennis en vaardigheden CISO’s moeten beschikken om de zogenaamde ‘knowing-doing-gap’ te overbruggen. De bevraagde security experts geven aan dat security veelal wordt gezien als een project, maar meer zou moeten worden opgevat als een proces.
Opvallend is dat de ondervraagden bij de beantwoording van de vragen weinig 'zachte vaardigheden' aanreiken, zoals overtuigingskracht, communicatieve vaardigheden of sensitiviteit ten aanzien van ontwikkelingen in de organisatie. Terwijl ze wel veel waarde bleken te hechten aan zulke 'soft skills' en deze zelfs als een belangrijke succesfactor aanmerkten. CISO's zitten ogenschijnlijk dus wat meer aan de kant van de hard skills (kennis en ervaring) en minder aan de zijde van de soft skills (vaardigheden en competenties). Dit is tegenstrijdig aan dat wat bestuurders en toezichthouders verwachten ten aanzien van de toekomstige ontwikkelingen van hun talenten. Zij zien een groeiende behoefte bij zichzelf en hun mensen aan onder andere helikopter view, kritisch doorvragen, oordeelsvermogen, commitment, resultaatgerichtheid, ondernemingszin en strategisch inzicht.
Dit vraagt om een verschuiving binnen de CISO-capaciteiten en hedendaagse opleidingen. Inhoudelijke kennis zal moeten worden aangevuld met bedrijfsmatige, organisatorische en psychologische vaardigheden. Gericht op het aanzetten tot voorwaartse actie. Tenminste, als de CISO de verandering blijvend wil laten zijn en security als een continu proces wil borgen. Al met al kunnen we uit het onderzoek uit 2013 concluderen dat de CISO van vandaag beperkingen heeft. CISO’s evalueren en adopteren maar deels de relevante krachten in hun strategie en beleid. Ze weten dat security een continu proces is maar hebben moeite het daadwerkelijk als zodanig te effectueren. Een mogelijke blinde vlek kunnen de sociale vaardigheden zijn. Bijvoorbeeld vaardigheden om doortastend te zijn of meer eisend ten aanzien van het management.
De CISO van de toekomst
Lec. Yuri Bobbert Msc RI is onderzoeker aan de Universiteit van Antwerpen op het terrein van bedrijfskritische informatiebeveiliging (Business Information Security). Daarnaast is hij lector bij Hogeschool NOVI en betrokken bij de realisatie van security opleidingsprogramma’s van LOI Hogeschool.
De CISO van de toekomst zal doordrongen moeten zijn van het enorme effect dat het vertrouwen van de stakeholders heeft op de continuïteit van de organisatie. Hij zorgt verder voor de noodzakelijke verbinding van de governance (het richten) met het management (het inrichten van processen) en met de operatie (het verrichten van activiteiten). En als er stakeholder-belangen in het geding zijn, dan grijpt hij in. Steeds zal hij hun belangen op het gebied van security verbinden aan de belangen en doelstellingen van de organisatie.
De CISO van de toekomst is dus een verbinder. Hij is in staat om met bestuurders in begrijpelijke bewoordingen over technische onderwerpen te communiceren. Hij is een vaardige verandermanager die psychologisch inzicht paart aan organisatorische sensitiviteit. Hij beschikt over globale kennis van aanpalende disciplines zoals juridische zaken. Hij weet waar de grenzen van de wet liggen en waar die worden overtreden. Hij weet ook waar de aansprakelijkheden van de organisatie liggen. Hij heeft een inschatting gemaakt van de risico's die de organisatie loopt en is in staat om deze in financiële zin te kwantificeren.
Hij heeft verder globale kennis van HR-processen. Hij weet wat de regels zijn waar gebruikers zich aan moeten houden en zorgt ervoor dat deze niet strijdig zijn met hun wettelijke rechten, zoals bijvoorbeeld vastgelegd in arbeidsrecht en de privacywetgeving. Hij is verder toegerust met globale kennis van architecturen (business systemen en IT-architecturen) en kan security architectuurprincipes duiden. Ook heeft hij globale kennis van marketing in huis. Kennis die hij vooral intern benut om bij de medewerkers de juiste houding en het juiste gedrag te bewerkstelligen.
Niet in de laatste plaats heeft de CISO van morgen feeling voor finance. Hij begrijpt waar de organisatie haar geld mee verdient, hoeveel er wordt verdiend en of het op een verantwoorde wijze wordt uitgegeven (security van investeringen in relatie tot risico’s). Hij is in staat om business cases uit te werken en toe te lichten om de noodzaak van investeringen in security te onderbouwen. Hij maakt een gedegen afweging van security uitgave ten opzichte van te realiseren doelen en kan deze afzetten tegen de industriecijfers (benchmarks).
De CISO van de toekomst weet bovenal wat hij niet weet. Daarom weet hij dat hij moet samenwerken en is hij daardoor in staat samen te werken in multidisciplinaire teams van experts. Hij waakt als een liaison over de juiste teamsamenstelling van kennis, vaardigheden en ervaring.
Permanente educatie
Concluderend kunnen we stellen dat de CISO van de toekomst een duizendpoot is die zich door middel van permanente educatie de kennis en vaardigheden eigen maakt die hij nodig heeft om zijn organisatie blijvend te kunnen (be)dienen. Voor ons vakgebied - waarin veranderingen zich continu voordoen - zijn snelheid en doelgerichtheid van eminent belang. Interventies die nodig zijn om beveiliging naar een hoger plan te tillen, kunnen niet uit louter theoretische zaken bestaan.
Er is een voortdurende terugkoppeling vanuit de praktijk nodig. Snelle ‘feedback loops’ zijn dus essentieel. Daarom is 'action research & learning' zo'n uitermate geschikte methodiek voor ons vakgebied. Juist door deel uit te maken van het te onderzoeken object ontstaat 'levende kennis'. Het is aan hogescholen en universiteiten om hiervoor opleidingen te hebben of te ontwikkelen. Niet alleen om de CISO van de toekomst op te leiden qua (technische) kennis en kunde, maar vooral ook om hem/haar de vaardigheden mee te geven die hij/zij nodig heeft om adequaat te blijven functioneren en zo zijn bestuurders te kunnen blijven adviseren.
Daarom pleit ik ervoor om action learning en action research op te nemen in de onderzoekslijnen en leerlijnen van universiteiten en hogescholen. Hogeschool NOVI doet dit al tot grote tevredenheid van de deelnemers. De opleiding ICT van deze hogeschool is recent gekozen tot beste deeltijdopleiding van Nederland. Criteria om deze kwalificatie te verkrijgen waren kleinschaligheid, individuele begeleiding en de intensieve wijze zoals het onderwijs (action learning) wordt gegeven. Onder andere door praktijkgevallen in te brengen in onderzoek en onderwijs en zo actiegericht tot kennisverbreding en -verdieping te komen. Zowel Hogeschool NOVI als ook Hogeschool LOI hebben een leerlijn ‘business information security’ gedefinieerd waarin de ISO en de CISO van de toekomst kunnen worden opgeleid.
Meer weten?
Yuri Bobbert schreef in 2010 het boek ‘Maturing Business Information Security, a framework to establish the desired state of security maturity’, dat wordt gebruikt op verschillende universiteiten en hogescholen. Vanuit dit boek zijn de MBIS-methode en het MBIS-platform ontstaan (mbis.eu). In 2014 verscheen zijn tweede boek: ‘Hoe Veilig is mijn ‘aandeel’?, Het borgen van Reputatie, Vertrouwen en Continuïteit met de MBIS methode’. Daarnaast heeft Bobbert meerdere wetenschappelijke publicaties op zijn naam.
Dit artikel is een bewerking van het hoofdstuk ‘Competentiemanagement’ dat is opgenomen in het boek ‘Hoe veilig is mijn aandeel?’. Dit boek is het resultaat van praktisch en wetenschappelijk onderzoek bij ruim honderd organisaties naar de beveiliging van kritische assets en de wijze waarop bestuurders en managers hun reputatie, vertrouwen en continuïteit kunnen borgen.