Als CISO is Christine Bejerasco niet alleen verantwoordelijk voor de digitale veiligheid van WithSecure en zijn ongeveer 1.100 werknemers zelf, maar in feite ook voor de reputatie van het Finse beveiligingsbedrijf. Hoe kiest ze haar prioriteiten?
Christine Bejerasco, CISO van WithSecure, heeft één probleem niét: in tegenstelling tot sommige collega’s bij andere ondernemingen moet Bejerasco aan het Finse beveiligingsbedrijf het belang van security niet uitleggen. Daar staat tegenover dat de helft van de mensen binnen het bedrijf zich beveiligings-expert waant, en in dit geval niet onterecht. Hoe selecteer je de juiste prioriteiten met de beschikbare middelen, in een organisatie waar iedereen een mening heeft?
ITdaily: “Hoe ziet de IT-omgeving waarvoor je verantwoordelijk bent eruit?”
Bejerasco: “WithSecure heeft ongeveer 1.100 werknemers, en is vrij modern georganiseerd. We hebben veel SaaS en zitten voor een groot stuk in de cloud. De organisatie bestaat natuurlijk uit veel cybersecurity-experts. De meeste werknemers hebben een basisbegrip van hoe aanvallers zich kunnen gedragen en zijn inherent achterdochtig over e-mails.”
“In onze sector werken we ook samen met enterprise-klanten, en die stellen zelf hoge en complexe eisen. Ze hebben voor ons als toeleverancier heel wat voorwaarden en controleren die via audits. Zo vragen ze ons bijvoorbeeld om vragenlijsten met honderden vragen in te vullen, hoewel we de correcte ISO-certificaten hebben. Wanneer zo’n bedrijven klant worden, stemmen we geregeld met hen af en evalueren we continu. Dat is goed, maar intensief.”
Wat zijn de belangrijkste prioriteiten op dit moment?
Bejerasco: “Ik mik steeds op concrete beveiligingsdoelstellingen. Daarom ben ik grote fan van de integratie van beveiliging in alle processen. Dat verkondig ik, maar ik probeer het ook praktisch waar te maken. Zo werk ik samen met het financieel departement, HR en R&D om te zien hoe we hun processen kunnen aanpassen, zodat beveiliging er een onderdeel van wordt.”
Ik ben grote fan van de integratie van beveiliging in alle processen.
Christine Bejerasco, CISO WithSecure
“We hebben geen groot team, dus moeten zoiets goed inplannen. Bovendien genereren we zo ook extra werk voor die departementen. Ik denk wel dat de aanpak de enige manier is om beveiliging op een duurzame manier te integreren. Mensen hoeven niet na te denken over beveiliging, het moet onderdeel zijn van wat ze doen. Voor betalingen kan je processen bijvoorbeeld aanpassen, zodat er telkens twee paar ogen nodig zijn om iets goed te keuren. Zo bouw je automatisch meer beveiliging in.”
Begrijpt de business de IT-uitdagingen voldoende? Zit iedereen steeds op één lijn?
Bejerasco: “Het begrip varieert per afdeling en functie. Er werken veel beveiligingsexperts bij WithSecure. Sommigen hebben decennia ervaring. Dat maakt mijn werk soms eenvoudiger, maar langs de andere kant is er niet één manier om aan beveiliging te doen en zijn er honderd meningen en visies over één probleem. Het is mijn job om er één te kiezen, daarvoor te gaan, en de volgende prioriteit aan te pakken. Niet iedereen zal altijd akkoord gaan met de gekozen oplossing.”
“Andere departementen hebben het soms nog moeilijker. Wanneer HR een QR-code ophangt voor een event, vindt iedereen dat bijvoorbeeld plots verdacht (lacht).”
“De CISO is bij WithSecure deel van de C-suite, en dat is volgens mij belangrijk. Zo worden zowel de CISO als beveiliging naar waarde geschat. We rapporteerden maandelijks over de status van de cyberbeveiliging. Beveiliging is geen achterafje en ik raad deze structuur aan voor alle bedrijven, als ze het zich kunnen veroorloven.”
Heeft de CISO-organisatie toegang tot voldoende mensen en middelen om al het gevraagde werk tot een goed einde te brengen?
Bejerasco: “We hebben nooit voldoende middelen (lacht). Ik moet ongenadig prioriteiten stellen. Natuurlijk wil ik altijd meer doen, dat zal nooit veranderen. Ik heb natuurlijk het voordeel dat WithSecure heel wat beveiligingstools en -middelen zelf ter beschikking heeft. We verkopen bijvoorbeeld managed detection en incident response, dus ik moet daar geen eigen oplossingen meer voor opzetten.”
lees ook
Zo vertaal je security-ambities naar klare bedrijfsdoelstellingen
“Dat is een luxepositie, al zijn er beperkingen. Als er een wachttijd is voor een bepaalde dienst, kan ik moeilijk klanten voorsteken. Als we onze eigen experts ergens voor gebruiken, zijn dat bovendien uren die ze anders konden aanrekenen, maar nu niet.”
Welke impact heeft nakende regelgeving zoals NIS2 op het beleid?
Bejerasco: “We voldoen al aan verschillende strenge certificaten zoals ISO 27001. NIS2 is niet zo’n grote sprong, maar we missen zekerheid. De regelgeving blijft een beetje een vraagteken. Tegen oktober moeten we in overeenstemming zijn, maar het blijft onduidelijk wat dat precies betekent. Zo moeten we incidenten rapporteren, maar wanneer? Wanneer we ze ontdekt hebben? Of wanneer we ze onderzocht hebben?”
Hoe gaat WithSecure om met de AI-hype?
Bejerasco: “Eén van mijn voornaamste initiële zorgen is de toegang van AI tot data, en hoe die data worden blootgesteld aan anderen die ze niet mogen zien. Classificatie van data in een organisatie is van fundamenteel belang. Als financiële data bijvoorbeeld niet correct als vertrouwelijk zijn gelabeld, gaat AI daar niet van wakker liggen. De data worden meegenomen in de training, en kunnen gebruikt worden in een antwoord. Zo open je de deur voor misdaden. Ik zou CISO’s aanraden om te kijken naar de classificatie van data en toegangscontrole.”
“We moeten AI natuurlijk wel gebruiken, want het gaat niet meer verdwijnen. Ik vind dat we er van het begin mee aan de slag moeten gaan, om de technologie mee in de juiste richting te sturen.”