logo ORSYS Le Mag

Het medium voor training en vaardigheden

Home > Digitale technologieën > Cyberbeveiliging > Information Systems Security Manager (CISO): meer dan een baan, een missie!

Information Systems Security Manager (CISO): meer dan een baan, een missie!

Gepubliceerd op 27 december 2022
Deel deze pagina :
CISO Beveiligingsmanager informatiesystemen

De CISO, de hoeksteen van IT-beveiliging, zorgt voor het beheer en de implementatie van het beveiligingsbeleid van de informatiesystemen van een organisatie. Hiervoor vertrouwt zij op regelgeving, best practices en internationale standaarden. Naast zijn technische expertise combineert deze manager organisatorische en functionele kennis. Guillaume*, expert bij Cyberwings, een bedrijf gespecialiseerd in cybersecurity, legt ons de werking uit.

Information Systems Security Manager (ISSM), IT Security Manager, Chief Information Security Officer (CISO), Cybersecurity Director... dit zijn slechts enkele van de namen die worden gegeven aan de persoon die verantwoordelijk is voor het implementeren van de cyberbeveiligingsstrategie van een organisatie. Het grote aantal vacatures voor deze functie getuigt van deze verscheidenheid aan benamingen. De CISO is dan ook een zeer gewilde functie. En toch hebben maar weinig organisaties een CISO, ondanks het feit dat deze een belangrijke bijdrage levert aan het vertrouwen, de veerkracht en de prestaties van het informatiesysteem.

Het zonder CISO stellen wordt soms opgelegd door de omvang van het bedrijf. Dit is het geval voor micro-ondernemingen en kleine en middelgrote ondernemingen. En soms is het een keuze. Sommige organisaties hebben daarom besloten om geen fulltime equivalent aan deze functie te wijden, waardoor de IT-afdeling, het financiële management of het kwaliteitsmanagement gedwongen worden deze extra rol op zich te nemen.

Wat zijn de missies van de CISO? Welke vaardigheden zijn vereist? Hoe bepaalt de CISO, in een tijd waarin het bestuur en de veerkracht van organisaties grote uitdagingen blijken te zijn die gekleurd zijn door soevereiniteit, sociale verantwoordelijkheid en nuchterheid, de koers voor cybersecurity en houdt hij het roer in handen?

De #1 missie van de CISO: het beheersen van de cyberbeveiliging van een organisatie

Hoewel het soms complex is om te beslissen aan wie de CISO-functie is (of zal worden) toegewezen, is het gemakkelijker om hun missies te definiëren. De belangrijkste missie van een CISO is het beheren – net als een kapitein op een schip – van de cyberbeveiliging van een organisatie in al haar strategische en operationele aspecten.

Een koers uitzetten

Het bestuur bestaat in de eerste plaats uit help het management een koers uit te zetten. Dit laatste is vastgelegd in het Information Systems Security Policy (PSSI). Het moet consistent zijn met de strategische ambities van de organisatie (ontwikkeling, certificeringsproject, wens om nieuwe markten aan te boren) en voortkomen uit de risicoanalyse die op het hoogste niveau van deze laatste wordt uitgevoerd.

De cyberdreiging is vandaag de dag onmiskenbaar aanwezig onder verschillende vormen. Elk structurerend project moet noodzakelijkerwijs de beste praktijken op het gebied van cyberbeveiliging slagen. De koers kan ook worden geconditioneerd of beïnvloed door derden, klanten of partners met toenemende eisen, verzekeraars, overheden, etc. door middel van controles, audits of door regelgeving. Ten slotte kan het bestaan uit het “inhalen van de opgelopen vertraging” en het verkleinen van de kloof tussen wat er bestaat en goede praktijken op het gebied van informatiebeveiliging. Deze kloof wordt het vaakst waargenomen na intern opgelopen incidenten of na gestarte audits en tests.

Definieer een stappenplan

La formalisering van een routekaart opgesplitst in operationele projecten moet het SSI-team vervolgens in staat stellen vooruitgang te boeken in de richting van het gestelde doel. Om deze projecten te implementeren moet de CISO in staat zijn technische, organisatorische en menselijke hulpbronnen te mobiliseren.

Bewustwording vergroten, mobiliseren en ondersteunen

Het moet al het personeel van de organisatie mobiliseren om goede praktijken en veiligheidsmaatregelen te implementeren. Dit gebeurt via sensibilisering en steun voor verandering. Maar de CISO moet ook vertrouwen op specifieke middelen, intern of extern: het SSI-team, ecosystemen, partners en vertrouwde dienstverleners.

Beheers verschillende disciplines

Het mobiliseren, samenbrengen en coördineren van deze middelen vereist dat de CISO de juridische, technologische en bestuurlijke kwesties van elk van de cyberprojecten waaruit de routekaart bestaat, begrijpt. Hij moet ook weten hoe hij moet scheidsrechteren door te vertrouwen op een regelmatig bijgewerkte stand van de offensieve en verdedigende kunst, evenals op een aanzienlijke hoeveelheid documentatie.

De ideale CISO… een vijfpotig schaap?

Tegelijkertijd verschijnt digitaal jurist, ethisch hacker, ontwikkelaar, strateeg, psycholoog, accountant… de ideale CISO vaak als een “schaap met vijf poten”.

Zeldzame en meerdere vaardigheden...

Onder zijn vele talenten moet hij in staat zijn om de uitvoering van een inbraaktest op de netwerkinfrastructuur te beheren, de impact op de verwerking van gevoelige gegevens te analyseren en een beveiligingsclausule op te stellen in een servicecontract om de beveiliging te integreren in applicatieontwikkelingen bewustmakingscampagnes en trainingen, om vervolgens de resultaten te integreren in de strategische risicoanalyse en de roadmap van de organisatie...

Deze knowhow vereist uitgebreide ervaring en een scala aan gevarieerde vaardigheden waarover maar heel weinig kandidaten voor de functie beschikken. Geen wonder dat recruiters moeite hebben om dergelijk talent te vinden!

… goed betaald

Met een uitzonderlijk profiel, uitzonderlijke verloning: als we verwijzen naar het onderzoek dat ANSSI in 2021 onder CISO’s uitvoerde, hebben 67 %-respondenten een jaarlijkse brutovergoeding tussen de 55.000 en 100.000 euro. Ze hebben minimaal een baccalaureaat +5 en 93 % zijn managers of senior managers, volgens ANSSI. Naast deze hoge verloningsniveaus is er een reeks sociale voordelen waar kandidaten sterk om vragen: flexibele uren, telewerken, deeltijds, enz.

Een veeleisende baan

De CISO-positie is aantrekkelijk, maar moeilijk en is onderhevig aan een sterke concurrentiekracht, met een aanzienlijk verloop. De afgelopen twee jaar zeggen 51 % CISO's dat ze tussen de 10 en 30 keer zijn benaderd door recruiters!

Het handhaven van een consistente cyberstrategie op de lange termijn terwijl pilots komen en gaan, kan voor een organisatie zeer complex zijn. Bij afwezigheid, verlof, ziekte of onbeschikbaarheid van de CISO dreigt het schip af te drijven. Het is daarom essentieel om te zorgen voor een veerkrachtige SSI-organisatie en een bestuurssysteem, dat kan vertrouwen op een dagelijks aanwezig verantwoordelijk team.

Kleine of grote structuur, twee soorten RSSI

In micro-ondernemingen en MKB-bedrijven

Als 79 % CISO's in structuren met meer dan 250 werknemers werken, hebben kleine organisaties niet minder behoefte aan het structureren en beheren van hun cyberbeschermingsstrategie. Dit kan het geval zijn wanneer deze kleine structuren deel uitmaken van een blootgesteld ecosysteem of wanneer zij over bijzonder innovatieve knowhow en intellectueel erfgoed beschikken. De rol van CISO wordt dan vaak vervuld door de IT-manager van het bedrijf.

De beschikbare en toegewezen middelen voor cyberbeveiliging in kleine organisaties zijn echter zelden opgewassen tegen de uitdagingen op het gebied van informatiebescherming waarmee zij worden geconfronteerd. Productie, handel, commerciële ontwikkeling en IT nemen doorgaans het grootste deel van de bestaande financiële en menselijke hulpbronnen in beslag. Deze beperkte middelen zorgen er uiteraard voor dat de CISO beslissingen neemt tussen projecten en betrokken raakt bij zowel strategische als operationele zaken.

Het is dus niet ongebruikelijk dat een CISO 's ochtends de specificaties voor een toekomstig overleg structureert, 's middags een bewustmakingsmail schrijft en de hele dag, zelfs 's avonds, gebruikerstickets en beveiligingsevenementen regelt.

Deze meerdere hoeden resulteren vaak in het gevoel onvoldoende rekening te houden met toekomstige kwesties, waardoor anticipatie en een strategische visie nodig zijn, en dat men met de neus aan het stuur staat om toezicht te houden op de dagelijkse gang van zaken.

Bij middelgrote bedrijven en grote bedrijven

In grote structuren is het ook niet eenvoudig om CISO te zijn. Als de beschikbare middelen groter zijn en de CISO leiding geeft aan een echt securityteam, zal hij herhaaldelijk met organisatorische en positioneringsvraagstukken worden geconfronteerd.

De eerste moeilijkheid bestaat erin zich te kunnen inleven in het strategische besluitvormingsproces en het algemene management het belang van cyberrisico's en hun impact (juridisch, financieel, operationeel, reputatie, etc.) op de organisatie te laten begrijpen.

De CISO moet echter ook weten hoe hij zich moet losmaken van de technische visie op risico's om de gevolgen van deze cyberrisico's aan het management uit te leggen. Zodra deze eerste kruistocht is voltooid, zal de CISO de zware taak hebben om de cyberrisico’s te kwantificeren op basis van de ernst van de geschatte impact en de waarschijnlijkheid dat deze zich zullen voordoen, om zo het juiste budget te bepalen om de risico’s tot een aanvaardbaar niveau terug te brengen. . Deze begroting zal gerechtvaardigd, geoptimaliseerd en verdedigd moeten worden tegenover een financieel management dat de neiging heeft deze post als een kostenpost te beschouwen in plaats van als een investering.

De CISO, projectmanager die moet weten hoe hij met stress om moet gaan

Aan de andere kant van de organisatieketen wordt de CISO ook geconfronteerd met management- en coördinatievraagstukken voor de verschillende projecten die tegelijkertijd worden uitgevoerd. Het opdelen van grote projecten in onderling afhankelijke taken en het verdelen van de bijbehorende middelen (menselijk, tijd, financieel), terwijl een echte monitoring en analyse van prestatie-indicatoren wordt gegarandeerd, kan een echte hoofdpijn blijken te zijn. Dit geldt des te meer omdat een groot aantal actoren (intern beveiligingsteam, ontwikkelaars, bedrijfsonderdelen, externe experts, consultants, enz.) waarschijnlijk gelijktijdig zullen ingrijpen bij complexe projecten, waardoor de CISO wordt getransformeerd in een echte dirigent, die moeite heeft om de algemene harmonie en wijkt niet af van zijn partituur.

Al deze verantwoordelijkheden, versterkt door het feit dat zij juridisch of symbolisch worden aangewezen als de schuldige in het geval van incidenten, maken de rol van de CISO vanuit menselijk oogpunt complex om op zich te nemen en creëren een angstwekkend klimaat dat bevorderlijk is voor ontwikkeling. van psychosociale risico’s (burn-out, onvermogen om de verbinding te verbreken, enz.). Driekwart van de respondenten van de ANSSI-enquête beschouwt hun werk zelfs als stressvol of zelfs zeer stressvol.

Besteed de CISO-functie uit om de werklast te verlichten

Ten slotte maakt de schaarste aan profielen die beschikbaar zijn op de arbeidsmarkt, gecombineerd met de beperkingen die aan deze functie verbonden zijn, de rekrutering van een CISO complex. Om nog maar te zwijgen van het feit dat het moeilijk zal zijn om een dergelijk profiel binnen de organisatie te behouden.

Het aanwerven van een CISO om op te treden als superheld op het gebied van cyberbeveiliging vertegenwoordigt daarom een echte investering. Dit betekent ook dat het bedrijf alle cyberverantwoordelijkheden in de handen van dezelfde persoon moet leggen, die geen ruimte voor fouten zal hebben.

Geconfronteerd met deze moeilijkheden is het geheel of gedeeltelijk uitbesteden van de CISO-functie een oplossing om te overwegen. Het vertrouwen op bedrijven en teams van externe deskundigen die in staat zijn de cyberstrategie te besturen, te co-piloten of zelfs bij te dragen aan de versterking van de aanwezige CISO is een manier om de eerder genoemde risico's en zwakheden te beperken, terwijl de reeds toegewezen middelen worden geoptimaliseerd. De keuze voor een “gemengd team” is, vanuit een expertoogpunt, de optimale configuratie om de zware missie van CISO te vervullen.

Training, essentieel om de lat vast te houden

De complexe CISO-functie vereist echte training op technische en managementaspecten. Dankzij dit zal de toekomstige CISO enerzijds de veiligheidsconcepten die hij dagelijks zal moeten implementeren beter kunnen begrijpen, en anderzijds alle betrokken organisaties zo goed mogelijk kunnen coördineren en mobiliseren. ISS-belanghebbenden die hij zal kusten.

Onze beste opleiding

Al onze trainingen in :

Biografie van Guillaume van het cyberbeveiligingsbedrijf Cyberwings

Misschien ben je ook geïnteresseerd in deze artikelen

IS-bestuur IS-governance: bedrijfsonderdelen betrekken bij bedrijfsbeveiliging Cybersecurity: ransomware, bedreiging nummer 1 - Orsys Formation Cybersecurity: de 10 manieren van de Senaat om bedrijven te beschermen Illustratie van artikel NIS 2NIS 2: hoe bereid je je voor op de toepassing van de nieuwe cyberbeveiligingsrichtlijn?

VORIG ARTIKEL

Edge computing, sneller en goedkoper dan de cloud

VOLGENDE ARTIKEL

Hoe waarde creëren met kunstmatige intelligentie

Onze expert

ORSYS Redactie

De redactie van ORSYS Le mag bestaat uit journalisten die gespecialiseerd zijn in IT, management en persoonlijke ontwikkeling [...]

geassocieerd domein

bijbehorende opleiding