CISO in een bedrijf vol met beveiligingsexperts: de job van Deryck Mitchelson bij Check Point is geen alledaagse IT-rol. Mitchelson getuigt aan ITdaily hoe hij het aanpakt: “We hoeven geen expertise van buitenaf in te brengen”.
Bij een doorsnee organisatie is de CISO de beveiligingsexpert bij uitstek. Dat is bij een bedrijf als Check Point wel even anders, waar quasi iedere werknemer over een bovengemiddelde kennis van digitale beveiliging beschikt. Deryck Mitchelson ging in 2022 de uitdaging aan als Field CISO en C-Suite Advisor bij Check Point.
Mitchelson bracht tonnen ervaring als CIO en CISO in onder andere de gezondheidszorg met zich mee. We ontmoeten hem tijdens Check Points jaarlijkse CPX-conferentie in Wenen. Vol passie en met een warm Schots accent praat Mitchelson over hoe hij zijn rol aanpakt en zijn visie op het hedendaagse beveiligingslandschap.
ITdaily: Hoe ziet de IT-omgeving waarvoor je verantwoordelijk bent eruit?
Mitchelson: “Voor alle duidelijkheid: ik ben niet direct verantwoordelijk voor de IT-omgeving van Check Point. Dat is grotendeels de taak van onze CIO (Alex Spokoiny, nvdr), die ook het interne beveiligingsbeleid heeft uitgetekend. We werken wel heel nauw samen. Hij staat altijd open om mijn mening te horen”.
“Mijn focus ligt meer op external engagement: praten met klanten over waar zij mee bezig zijn en waar hun grote uitdagingen liggen. Ik ben zelf ook jarenlang CIO geweest. Die ervaring probeer ik mee te nemen in mijn rol binnen Check Point tijdens gesprekken met klanten. Die voortdurende interactie met externe partijen vind ik zeer waardevol. De uitdagingen van bedrijven voor IT en beveiliging zijn over verschillende sectoren heen voor quasi 90 procent hetzelfde”.
Wat zijn de belangrijkste prioriteiten op dit moment?
Mitchelson: “Het beschermen van onze assets: de potentiële blinde vlekken identificeren en ervoor zorgen dat we over de juiste gegevens beschikken om die aan te pakken. Onze uitdagingen zijn wat dat betreft niet zo verschillend dan voor andere organisaties”.
“Een tweede prioriteit is ervoor zorgen dat we in de eerste plaats de juiste technologieën gebruiken, maar ook de technologie op de juiste manier gebruiken. Bij Check Point zijn we ervan overtuigd dat we over de beste technologie beschikken, maar dat neemt niet weg dat we voortdurend zoeken naar manieren om onszelf te blijven verbeteren. Hoe we met technologie omgaan, is vandaag helemaal anders dan enkele jaren geleden. Ik heb hier vandaag tijdens de conferentie bijvoorbeeld nog geen enkele keer mijn laptop opengeklapt. We kunnen en doen veel meer met onze smartphone”.
Begrijpt de business de IT-uitdagingen voldoende?
Mitchelson: “De uitdagingen van vandaag zijn gelijkaardig over verschillende sectoren heen. We willen een goede beveiliging bieden, maar ook een goede gebruikservaring rond die beveiliging. De conversatie vertrekt vanuit een ander perspectief, maar in de basis gaat het over digitale transformatie van upstream- en downstreamactiviteiten. Het grote verschil bij Check Point is dat er veel kennis en expertise al binnen de organisatie zit. Als CISO moet je de expertise hier niet van buitenaf binnenbrengen, want die is er al voldoende”.
Heeft je CIO-organisatie toegang tot voldoende mensen en middelen?
Mitchelson: “Iedereen praat vandaag over een gebrek aan resources. Voor mij draait het niet om kwantiteit, maar kwaliteit. Je kan mensen aannemen, maar de juiste vaardigheden binnenbrengen is vaak moeilijker. Het beste talent heeft keuze waar ze willen werken. Ik heb ook altijd gekeken hoe ik binnen mijn team talent verder kan uitbouwen, wie zou kunnen uitblinken in een andere rol. Door te focussen op talent dat je kan ontwikkelen in plaats van binnen te brengen, bouw je een cultuur uit in je organisatie. Digitale beveiliging is als je het mij vraagt de beste industrie om in te werken: laten we het weer spannend maken”.
“Tegelijkertijd mogen we het ‘ruwe’ talent niet uit het oog verliezen. We zouden als industrie meer moeten inzetten op opleiding en stages om talent vanaf jonge leeftijd te overhalen voor een job in beveiliging. Politici hebben het voortdurend over digitale transformatie. Dit zou een vertaling naar het onderwijs moeten krijgen. Ieder bedrijf wordt digitaal: beveiliging is voor iedereen een prioriteit”.
Je kan mensen aannemen, maar de juiste vaardigheden binnenbrengen is vaak moeilijker.
Zit de toekomst van IT-omgevingen in de cloud, on-premises of in een combinatie daarvan?
Mitchelson: “Een combinatie. We evolueren in golven. De early adopters die volledig naar de cloud gingen, hebben ontdekt dat de cloud heel complex is. Er is veel te veranderen in de publieke cloud. Daarmee bedoel ik hoe je de cloud beheert en hoe je capaciteit en skills uitbouwt. Als je processen niet voldoende geautomatiseerd en efficiënt zijn, zal je de voordelen van de cloud niet benutten en valt het veel duurder uit dan verwacht. Daarom is bij veel bedrijven de migratie naar de cloud stopgezet, om te bepalen wat naar de cloud moet”.
“Tijdens een rondetafel voor de bankingindustrie eerder vandaag, kreeg ik hier nog een vraag over. Ik raad aan om digitale diensten naar de cloud te brengen, maar de kern van je IT-omgeving on-prem te houden. Zo is er minder risico voor je klanten. Als een digitaal portaal niet beschikbaar is, is dat even vervelend, maar de impact is veel groter als je kern verstoord is. Dat is in alle sectoren zo, ook voor ons. Het is logisch dit te splitsen”.
Welke impact heeft regelgeving zoals NIS2 op het beleid?
Mitchelson: “Regulering heeft een impact op elke CISO. We zijn allemaal tot een bepaald punt gereguleerd over wat we moeten doen bij datalekken, enz. Ik zie een disconnectie in maturiteit tussen gereguleerde sectoren zoals de financiële sector en minder gereguleerde sectoren. Regulering is een goede zaak om de conversatie op gang te trekken en de maturiteit in het opsporen en vermijden van kwetsbaarheden te verhogen”.
Hoe gaat Check Point om met de AI-hype?
Mitchelson: “Ons beleid is eigenlijk simpel: we eten ons eigen voedsel. We gebruiken onze eigen technologieën. Het zou raar zijn moest dat niet het geval zijn. De interne capaciteiten zijn aanwezig in de organisatie dus is het alleen maar logisch dat we er zelf gebruik van maken. We zijn van het principe dat als het werkt voor ons, het ook voor onze klanten zal werken”.
“Het blijft me wel verbazen hoe snel AI evolueert. Dit verandert hoe we AI aanbieden en verwerken in onze eigen beveiligingsproducten. AI heeft een groot potentieel om de skills gap in beveiliging te dichten. We moedigen klanten aan AI op een veilige manier in te zetten om efficiënter en effectiever te beveiligen. Onze AI-technologie is secured by design.
“Ik maak me een beetje zorgen in welke mate dit in andere sectoren het geval is. Het ontbreekt in veel sectoren aan processen om de risico’s binnen de eigen organisatie te bepalen. AI niet veilig implementeren kan leiden tot kwetsbaarheden met boetes en reputatieschade als gevolg. Check Point wil bedrijven helpen de AI-transformatie veilig te doen verlopen. Het is complex en niet iedereen heeft de expertise binnenshuis. We hebben het voor onszelf opgelost, laten we dat nu voor iedereen proberen doen”.
Ons beleid rond AI is vrij simpel: we gebruiken onze eigen technologie. Het zou raar zijn als dat niet het geval was.
Wat zijn de belangrijkste trends die je opvolgt met het oog op de komende drie jaar?
Mitchelson: “De veranderende rol van CIO’s en CISO’s intrigeert me persoonlijk. Door reguleringen en nieuwe technologieën verandert de invulling van de rol razendsnel. Het is interessant om te zien hoe we met die veranderingen omgaan. CIO’s worden ‘transformatieleiders’.
“Iedereen zal over AI blijven praten binnen de beveiligingsindustrie, over welke nieuwe dreigingen het veroorzaakt en hoe AI die kan oplossen. Aanvallers innoveren ook. Terwijl wij meer ethisch te werk willen gaan, worden aanvallers dat net minder en minder om nieuwe technologie snel uit te buiten. Dat is een zorgwekkende, maar tegelijkertijd fascinerende evolutie”.
“Ik hoop van harte dat wie nog geen AI-capaciteiten geïntroduceerd heeft, dat snel zal doen. Als aanvallers meer capaciteiten hebben dan jou, ben je een vogel voor de kat. Iedere beveiligingsleider zal een AI-expert moeten worden. Jij bent het eerste aanspreekpunt voor vragen vanuit de board”.