Information Systems Security Manager (CISO): meer dan een baan, een missie!

Als hoeksteen van IT-beveiliging houdt de CISO toezicht op het beveiligingsbeleid voor informatiesystemen van een organisatie en voert dit uit. Hiervoor baseert hij of zij zich op regelgeving, best practices en internationale normen. Naast hun technische expertise combineren deze managers organisatorische en functionele knowhow. Guillaume*, een expert bij Cyberwings, een bedrijf dat gespecialiseerd is in cyberbeveiliging, neemt ons mee door de kneepjes van het vak.

Information Systems Security Manager (ISSM), IT Security Manager, Chief Information Security Officer (CISO), Cybersecurity Director... dit zijn slechts enkele van de namen die worden gegeven aan de persoon die verantwoordelijk is voor het implementeren van de cyberbeveiligingsstrategie van een organisatie. Het grote aantal vacatures voor deze functie getuigt van deze verscheidenheid aan benamingen. De CISO is dan ook een zeer gewilde functie. En toch hebben maar weinig organisaties een CISO, ondanks het feit dat deze een belangrijke bijdrage levert aan het vertrouwen, de veerkracht en de prestaties van het informatiesysteem.

Het ontbreken van een CISO wordt soms ingegeven door de grootte van het bedrijf. Dit is het geval voor micro-ondernemingen en KMO's. En soms is het een kwestie van keuze. Sommige organisaties hebben besloten om geen fulltime equivalent aan deze functie te wijden, waardoor de IT-, financiële of kwaliteitsafdelingen gedwongen worden om deze extra pet op te zetten.

Wat zijn de taken van de CISO? Welke vaardigheden zijn vereist? In een tijd waarin bestuur en de weerbaarheid van organisaties blijken grote uitdagingen te zijn, getint met soevereiniteit, maatschappelijke verantwoordelijkheid en nuchterheid, hoe zet de CISO de koers uit voor cyberbeveiliging en hoe stuurt hij het schip?

Missie nr. 1 voor CISO's: de cyberbeveiliging van een organisatie regelen

Hoewel het soms ingewikkeld is om te bepalen wie de rol van CISO krijgt - of krijgt -, is het eenvoudiger om de missies ervan te definiëren. De belangrijkste taak van een CISO is om - net als de kapitein van een schip - de strategische en operationele aspecten van de cyberbeveiliging van een organisatie te sturen.

Een koers uitzetten

Regeren is in de eerste plaats het management helpen een koers uit te zetten. Dit is vastgelegd in het beleid voor de beveiliging van informatiesystemen (PSSI). Het moet in overeenstemming zijn met de strategische ambities van de organisatie (ontwikkeling, certificeringsproject, de wens om nieuwe markten aan te boren) en voortvloeien uit de risicoanalyse die op het hoogste niveau van de organisatie is uitgevoerd.

De cyberdreiging is vandaag de dag onmiskenbaar aanwezig in verschillende vormen. Elk structureringsproject moet noodzakelijkerwijs de goede cyberbeveiligingspraktijken om te slagen. De koers kan ook worden bepaald of beïnvloed door derden, klanten of partners met steeds hogere eisen, verzekeraars, overheden, enz. door middel van controles, audits of voorschriften. Tot slot kan de koers bestaan uit het "inhalen" en verkleinen van de kloof tussen wat er al is en de best practices op het gebied van informatiebeveiliging. Deze kloof wordt meestal geïdentificeerd na interne incidenten of na audits en tests.

Een stappenplan definiëren

La formalisering van een routekaart opgesplitst in operationele projecten moet vervolgens het ISS-team in staat stellen om het gestelde doel te bereiken. Om deze projecten uit te voeren, moet de CISO technische, organisatorische en menselijke middelen kunnen mobiliseren.

Bewustwording vergroten, mobiliseren en ondersteunen

Het moet al het personeel van de organisatie betrekken bij het implementeren van goede praktijken en veiligheidsmaatregelen. Dit houdt in sensibilisering en veranderingsbeheer. Maar de CISO moet ook vertrouwen op toegewijde bronnen, zowel intern als extern: het IS-team, ecosystemen, partners en vertrouwde serviceproviders.

Verschillende disciplines beheersen

Om deze middelen te mobiliseren, samen te brengen en te coördineren, moet de CISO inzicht hebben in de juridische, technologische en bestuurlijke aspecten van elk van de cyberprojecten die deel uitmaken van de roadmap. Hij of zij moet ook kunnen arbitreren op basis van een regelmatig bijgewerkte stand van de techniek op het gebied van zowel aanval als verdediging, evenals een aanzienlijke hoeveelheid documentatie.

De ideale CISO... een schaap met vijf poten?

Digitaal jurist, ethisch hacker, ontwikkelaar, strateeg, psycholoog, boekhouder... de ideale CISO wordt vaak gezien als een "schaap met vijf poten".

Zeldzame en meervoudige vaardigheden...

Onder hun vele talenten moeten ze in staat zijn om een inbraaktest op de netwerkinfrastructuur te beheren, de impact op de verwerking van gevoelige gegevens te analyseren, een beveiligingsclausule in een servicecontract op te stellen, beveiliging te integreren in de ontwikkeling van applicaties, bewustmakingscampagnes en trainingssessies uit te voeren en de resultaten te verwerken in de analyse van strategische risico's en de roadmap van de organisatie, enz.

Deze vaardigheden vereisen heel wat ervaring en een brede waaier aan competenties waarover maar heel weinig kandidaten voor deze job beschikken. Het is dan ook niet verwonderlijk dat recruiters moeite hebben om dergelijk talent te vinden!

goed betaald

Uitzonderlijke profielen vragen om uitzonderlijke vergoedingen: als we verwijzen naar de enquête uitgevoerd door deANSSI in 2021 van de CISO's heeft 67 % van de respondenten een bruto jaarsalaris tussen €55.000 en €100.000. Ze hebben minstens een 5-jarige hogere opleiding en 93 % zijn managers of senior managers, volgens ANSSI. Naast deze hoge salarisniveaus zijn kandidaten ook op zoek naar een reeks sociale voordelen: flexibele werktijden, telewerken, deeltijds werken, enz.

Een veeleisende baan

De baan van CISO, aantrekkelijk maar moeilijk, is zeer concurrerend en kent een groot personeelsverloop. In de afgelopen twee jaar zegt 51% van de CISO's tussen de 10 en 30 keer benaderd te zijn door recruiters!

Het onderhouden van een coherente e-strategie op lange termijn met een opeenvolging van piloten kan erg complex zijn voor een organisatie. Als de CISO afwezig, met verlof, ziek of niet beschikbaar is, bestaat het risico dat het schip op drift raakt. Het is daarom essentieel om te zorgen voor een veerkrachtige organisatie en systeem van ISS-governance, ondersteund door een team dat verantwoordelijk is en dagelijks aanwezig is.

Kleine of grote structuur, twee soorten RSSI

In micro-ondernemingen en MKB-bedrijven

Hoewel 79 % van de CISO's werkt in organisaties met meer dan 250 werknemers, moeten ook kleine organisaties hun cyberbeschermingsstrategie structureren en beheren. Dit kan het geval zijn wanneer deze kleine organisaties deel uitmaken van een blootgesteld ecosysteem of wanneer ze over bijzonder innovatieve knowhow en intellectuele activa beschikken. In dergelijke gevallen wordt de rol van CISO vaak vervuld door de IT-manager van het bedrijf.

De middelen die beschikbaar zijn voor en toegewezen worden aan cyberbeveiliging in kleine organisaties zijn echter zelden opgewassen tegen de uitdagingen op het gebied van informatiebeveiliging waarmee ze worden geconfronteerd. Productie, de bedrijfslijnen, bedrijfsontwikkeling en IT nemen over het algemeen het grootste deel van de bestaande financiële en personele middelen in beslag. Deze beperkte middelen leiden er natuurlijk toe dat CISO's afwegingen moeten maken tussen verschillende gebieden en betrokken moeten raken bij zowel strategische als operationele zaken.

Het is bijvoorbeeld niet ongewoon dat een CISO 's ochtends de specificaties voor een toekomstig overleg opstelt, 's middags een bewustmakingsmail opstelt en de hele dag en zelfs tot 's avonds gebruikerstickets en beveiligingsgebeurtenissen afhandelt.

Deze meervoudige rollen geven vaak het gevoel dat er niet voldoende rekening wordt gehouden met de problemen van de toekomst, die anticipatie en strategische visie vereisen, en dat men met de "neus op de feiten" wordt gedrukt om de dagelijkse gang van zaken bij te houden.

Bij middelgrote bedrijven en grote bedrijven

In grote organisaties is het ook geen sinecure om CISO te zijn. Als er meer middelen beschikbaar zijn en de CISO leiding geeft aan een echt beveiligingsteam, krijgt hij of zij te maken met steeds terugkerende organisatorische en positioneringsproblemen.

De eerste uitdaging is om betrokken te raken bij het strategische besluitvormingsproces en het senior management te doordringen van het belang van cyberrisico's en hun impact (juridisch, financieel, operationeel, reputatie, etc.) op de organisatie.

De CISO moet zich echter ook kunnen losmaken van de technische kijk op het risico om het management uit te leggen wat de gevolgen van deze cyberrisico's zijn. Zodra deze eerste kruistocht is volbracht, heeft de CISO de zware taak om de cyberrisico's te kwantificeren in termen van de ernst van de geschatte gevolgen en de waarschijnlijkheid dat ze zich voordoen, om het juiste budget te bepalen om de risico's tot een aanvaardbaar niveau terug te brengen. Dit budget moet worden gerechtvaardigd, geoptimaliseerd en verdedigd tegenover een financiële afdeling die de neiging heeft om deze post eerder als een kostenpost dan als een investering te beschouwen.

CISO's, projectmanagers die moeten weten hoe ze met stress moeten omgaan

Aan de andere kant van de organisatieketen wordt de CISO ook geconfronteerd met het probleem van het beheren en coördineren van de verschillende projecten die tegelijkertijd worden uitgevoerd. Het opsplitsen van grote projecten in onderling afhankelijke taken en het verdelen van de bijbehorende middelen (personeel, tijd, financieel), terwijl er tegelijkertijd wordt gezorgd voor een goede monitoring en analyse van prestatie-indicatoren, kan een echte hoofdpijn zijn. Dit geldt des te meer wanneer een groot aantal spelers (intern beveiligingsteam, ontwikkelaars, business lines, externe experts, consultants, etc.) waarschijnlijk tegelijkertijd betrokken is bij complexe projecten, waardoor de CISO een ware dirigent wordt die worstelt om de algehele harmonie te bewaren en niet van zijn of haar score af te wijken.

Al deze verantwoordelijkheden, versterkt door het feit dat men, juridisch of symbolisch, als schuldige wordt aangewezen in het geval van een incident, maken de job van CISO vanuit menselijk oogpunt complex en creëren een angstwekkend klimaat dat bevorderlijk is voor de ontwikkeling van psychosociale risico's (burn-out, onvermogen om de verbinding te verbreken, etc.). Driekwart van de respondenten van de ANSSI-enquête beschouwt hun werk als stressvol of zelfs als zeer stressvol.

De CISO-functie uitbesteden om de werklast te verlichten

Tot slot maakt de schaarste aan beschikbare profielen op de arbeidsmarkt, in combinatie met de beperkingen die aan deze rol verbonden zijn, het werven van een CISO tot een complex proces. Om nog maar te zwijgen van het feit dat het moeilijk zal zijn om zo'n profiel binnen de organisatie te houden.

Het aannemen van een CISO als superheld op het gebied van cyberbeveiliging is daarom een echte investering. Voor het bedrijf betekent het ook dat alle cyberverantwoordelijkheden in handen komen van één persoon, die geen ruimte heeft voor fouten.

Geconfronteerd met deze problemen is het het overwegen waard om de CISO-functie geheel of gedeeltelijk uit te besteden. Vertrouwen op externe bedrijven en teams van deskundigen om de cyberstrategie te sturen of mede te sturen, of om bij te dragen aan de ontwikkeling van de bestaande CISO, is een manier om de hierboven genoemde risico's en zwakke punten te beperken en tegelijkertijd de reeds toegewezen middelen te optimaliseren. De keuze voor een "gemengd team" is, vanuit het oogpunt van experts, de optimale configuratie om de zware taak van CISO op zich te nemen.

Training, essentieel om de lat vast te houden

De complexe rol van CISO vereist echte training in zowel technische als managementaspecten. Dit zal toekomstige CISO's in staat stellen om een beter begrip te krijgen van de beveiligingsconcepten die ze dagelijks zullen moeten implementeren en om alle IS-spelers waarmee ze zullen samenwerken zo effectief mogelijk te coördineren en te mobiliseren.