Geboren uit een spraakverwarring tijdens een Teams meeting (want het was coronatijd), moest ik van de week weer denken aan een service die elke security professional misschien welk herkent: “CISO-as-a-Circus”.
Voor veel organisaties is het lastig om het informatiebeveiligingsvak bij te benen. We hebben de ene hack nog niet gehad of de volgende kwetsbaarheid komt voorbij. Het helpt ook niet dat Nederland inmiddels een heel alfabet-vermicelli aan ondersteunende organisaties heeft. Iemand zou daar een beslisboompje voor moeten maken. Waar moet ik zijn?
Anyway, de eerste stap die veel bedrijven zetten is het aannemen of inhuren van een CISO. Een Corporate Information Security Officer. Belangrijk. Toch zie je dat het niet genoeg is om een iemand binnen te slepen die het wel even gaat fixen.
Eén CISO?
Het begint er al mee: één is géén. Zelden kan zo iemand alleen het probleem oplossen. Je hebt meer dan één schoonmaker in dienst, en als je naar de cloud wilt bel je je leverancier voor meer dan één slimme jongen met verstand van Azure. Je hebt er minstens twee nodig. Liefst drie of vier, met een persoon erboven om ze leiding te geven zodat je er geen omkijken naar hebt. Dat geldt voor alles. Van facilitair beheer tot software-ontwikkeling. Dus ook voor informatiebeveiliging. Dat betekent niet dat je vier dure CISO’s nodig hebt, maar een junior ter ondersteuning (uit je eigen organisatie!) is essentieel.
Mandaat
Ook een fout die veel bedrijven maken is de CISO het probleem wel te geven, maar niet het formele mandaat. De nieuwe aanwezigheid wordt niet bekrachtigd in het hoogste MT, en ze worden op pad gestuurd zonder netwerk in de organisatie. Ze moeten zelf maar uitzoeken wie de product owners zijn. Wie de leidinggevenden zijn waar mensen bang voor zijn. Ze komen er gaandeweg achter wie bij de “conservatieve” fractie horen, en waar verborgen talent al jaren ploetert. Dat wordt ze niet verteld, terwijl een goed MT dat soort dingen heus wel weet. Zorg dus dat je je nieuwe CISO goed beslagen ten ijs stuurt.
Goedkoop is duurkoop
Of je een CISO een “budget” moet geven is een heikel punt. Maar als je ook echt een team wilt neerzetten is er geen ontkomen aan. Wist je dat een goede SOC-analist rustig 5K aan trainingen per jaar kan opsouperen? De meeste organisaties scharen hun techneuten onder de rest van de collega’s en geven ze 200,- per jaar mee. Het IT budget ondertussen, gaat op aan vendorcontracten die ze zelf niet meer scherp hadden, uitgelopen onderhoud aan applicaties die toch al end of life zijn en een nieuwe cloud service van Azure met een ondoorzichtig prijsmodel. Zonde!
De bizznizz
Over het algemeen heeft een CISO de IT-organisatie wel mee. Die weten precies waar de zwakke plekken zitten en kunnen wel wat senior hulp gebruiken in hun gesprekken met de “business”, de organisatie zelf. Maar die hebben vaak te lang de touwtjes in handen gehad en dat merk je meteen. Onderhoud en beheer is nergens voor nodig. Beveiliging ook niet, want “wij zijn immers echt geen gewild doelwit en onze klanten vinden wachtwoorden langer dan vier tekens maar lastig.” Logisch, want geld moet rollen. Vaak is het alleen dankzij diezelfde CISO dat er soms een persbericht wordt voorbereid waarin je aangeeft “beveiliging heel serieus te nemen” voor de dag die je wist dat zou komen en je daadwerkelijk gehackt wordt.
Jaarlijks
In veel organisaties is informatiebeveiliging een circus dat slechts eens per jaar in de boardroom neerstrijkt. Elke accountant neemt informatiebeveiliging en “CYBER” expliciet mee in de presentatie over de jaarrekening. Als je slecht scoort wordt je direct doorverwezen naar een andere afdeling in hetzelfde bedrijf (hallo Deloitte).
Tijdens dit circus is de CISO vaak de clown. Een man met een missie, maar zonder budget, mandaat of netwerk. Maak die fout niet. Schep met je nieuwe CISO de randvoorwaarden om écht toegevoegde waarde te leveren. Anders zit je volgend jaar met hetzelfde probleem, maar dan in de ☁️ cloud ☁️.