Chief Information Security Officer, kortweg CISO. Die term laten vallen, doet veel managers zuchten: “de persoon die alles tegenhoudt met pietluttige regels.” Het is een verkeerd beeld, zo bleek ook tijdens een rondetafelgesprek onder CISO’s dat Tanium recent op zijn Converge-conferentie organiseerde. De rol van de CISO is de laatste tijd alleen maar strategischer geworden. En meteen krijgt de CISO er ook een flink aantal uitdagingen bij.
Tijdens Converge (13-16 november) kregen de meer dan 1.000 aanwezigen in Austin (Texas) en de duizenden die online mee keken een hele reeks keynotes en break-out sessies die hen helemaal up-to-date brachten van het belang van endpoint management en de impact ervan op de werking van een organisatie. Naast de interventies van partners als Microsoft en ServiceNow, een presentatie van Gartner over Digital Workplace Maturity en partner spotlights voor Cognizant, PWC, EY en Capgemini was zeker ook het debat met de CISO’s van klanten en geleid door Tanium’s eigen CISO Chris Hallenbeck bijzonder interessant.
Bredere ‘attack surface’
Hallenbeck wees in zijn inleiding meteen zelf op de druk die op CISOs staat en wat er de laatste jaren allemaal veranderd is voor deze rol. Dat de pandemie iedereen plots van overal liet connecteren op bedrijfsnetwerken, opende de deur voor heel wat risico’s en voor de volledige inburgering van op afstand werken. Daar ondervinden CISO’s tot vandaag de dag de gevolgen van.
Liz Morton, Senior Director, Cybersecurity van Intercontinental Exchange wees er op dat de werknemers tegelijk ook veel veeleisender geworden zijn. “Ieder device dat ze in hun privéleven gebruiken, willen ze ook inzetten in werkomstandigheden. Dat is leuk voor hen, maar niet per se top voor de beveiliging van een bedrijf.” Ook het openzetten van bijvoorbeeld productiesystemen voor externe toegang bezorgt de security-afdeling extra hoofdbrekens, zei Kevin McLaughlin, VP van Stryker. “En dat stelt nieuwe eisen aan de snelheid waarmee je reageert en vereist nieuwe software die je toestaat zo snel te reageren.”
“Vroeger konden we makkelijk een paar maanden de tijd nemen om een upgrade uit te rollen,” zegt Liz Morton. “Nu eisen onze klanten en de klanten van onze klanten dat upgrades meteen gebeuren.”
Persoonlijk aansprakelijk?
Net voor Converge plaats vond, was er heel wat te doen rond de veroordeling van de voormalige Chief Security Officer van Uber en de rechtszaak rond de hack bij SolarWinds. De persoonlijke aansprakelijkheid van wie met beveiliging bezig is, was dus ook tijdens dit panelgesprek een belangrijk topic. Hoe voelen CISO’s zich er bij dat ze persoonlijk aansprakelijk gesteld kunnen worden? En wat kunnen ze voor, tijdens en na een incident doen om aan vervolging te ontsnappen?
Renate Spinks, CEO van Cybersec International heeft een verleden als CISO voor de Amerikaanse federale overheid, waar het normaal was dat een CISO persoonlijk een verzekeringspolis nam om zich te beschermen tegen vervolging. “Ik hoop maar dat dit niet de nieuwe norm wordt voor CISO’s in andere sectoren. Maar als CISO moet je mee-evolueren met je tegenstander, en die wint alleen maar aan snelheid. CISO’s moeten meer dan ooit hun best doen om cybercriminelen te snel af te zijn. Dat moeten ze ook als een persoonlijk commitment zien. We moeten als CISO gewoon onze stinkende best doen, dan zitten we wel safe. Dat is een betere aanpak dan voor het gemak een verzekering nemen en de rest op zijn beloop te laten.”
‘Elk nadeel heb zijn voordeel’
Dat de CISO meer in het oog loopt, heeft ook zijn voordelen. Volgens Peeyush Patel, CISO van XPO Logistics, heeft de CISO nu echt wel zijn ‘seat at the table’ verworven en luistert men ook op managementniveau naar hen. “Dat helpt om nieuwe initiatieven beter gedragen te krijgen door het management, wat de aanvaarding van die programma’s in de organisatie meer kans geeft. Je draagt misschien meer verantwoordelijkheid, maar tegelijk is het ook een kans om de zaken beter en grondiger aan te pakken.”
Hij maakt zich dan ook niet zoveel zorgen over het feit dat er zoveel meer regelgeving komt waar ondernemingen zich aan moeten houden. “Het is een goede zaak dat iedereen, dus ook de regelgevers, inzien wat voor impact een security-incident kan hebben op de waarde van een onderneming. Het toont opnieuw de waarde van cybersecurity.”
En uiteraard moet een CISO altijd eerlijk zijn tegen contole-organisaties. “Ik heb als kind geleerd om niet te liegen,” zegt Liz Morton. “Dat moet een CISO ook altijd voor ogen houden als die moet rapporteren over een incident en wat de impact van dat incident zal zijn op je eigen onderneming en eventuele derde partijen.”
Het laatste deel van het CISO-panel ging over die derde partijen: supply chain risk is voor iedereen van groter belang. Welke software komt allemaal binnen in een organisatie en hoe veilig is die? Hoe bouw je een Software Bill of Materials (SBOM) waar je 100% zekerheid hebt over de herkomst en veiligheid van alle onderdelen en modules in die software? “Het is helaas niet de natuurlijke reflex van softwareontwikkelaars om alles goed te documenteren”, weet Peeyush Patel, “maar het zijn toch belangrijke vragen die we stellen aan onze softwareleveranciers. Een complicerende factor is dat we te weinig regelgeving hebben over wie verantwoordelijk is voor software in de cloud. Is het de softwareleverancier? Of het bedrijf dat opslag en compute aanbiedt in de cloud?” Regelgeving maakt dus aan de ene kant het werk van de CISO makkelijker, maar regelgeving bemoeilijkt tegelijkertijd het leven van de CISO ook weer.
Wat in ieder geval duidelijk bleek uit het panelgesprek: er is een grote behoefte aan samenwerking tussen CIO, CISO, alle andere C’s in een organisatie, contactpersonen bij partners, en niet in het minst ook met de instanties die de regels opleggen en verantwoordelijk zijn voor de handhaving ervan. Wie over security een voorspelling voor 2024 wil maken, kan met deze alvast de plank niet mis slaan: de CISO krijgt er volgend jaar weer een heleboel werk bij.
Dit is een ingezonden bijdrage van Wytze Rijkmans, Regional Vice President van Tanium. Voor meer informatie over de diensten van het bedrijf kan je hier terecht.De replay van de sessies op Converge kunnen nog steeds ‘on-demand’ bekeken worden, op de Converge website.