De ‘securityverantwoordelijke 2.0’ is niet meer de rabiate ‘Mr No!’ van weleer, maar heeft als ciso steeds meer voeling met de zakelijke kant van het bedrijf.

Security-verantwoordelijken in een bedrijf hebben het heus niet onder de markt. Zo moeten ze dag na dag aan steeds meer en steeds venijnigere dreigingen het hoofd bieden en zo de zakelijke belangen van het bedrijf beschermen, maar tegelijk worden ze door de collega’s (nog) vaak gezien als de onwrikbare ‘Mr No!’ – de persoon die steeds weer zegt waarom iets niet kan of mag, basta. Maar klopt dat beeld nog? ISACA Belgium – de vereniging van informatieveiligheidspecialisten – bevroeg zijn leden hoe ze vandaag hun rol in het bedrijf zien.

Ervaring troef

Uit de resultaten blijkt in ieder geval dat de chief information security officers (ciso) geen groentjes zijn op het gebied van security, en gewoonlijk aantreden in de grote bedrijven. Haast 70 procent van de respondenten is aan de slag in bedrijven met meer dan 1.000 werknemers, terwijl een zelfde percentage 40 jaar of ouder is (28 procent zelfs ouder dan 50 jaar). Een positieve ontwikkeling, meent Marc Vael (ISACA Belgium), want dat is “een erkenning dat het een beroep op zich is,” tegen “wat vroeger een soort uitloopbaan was, net voor het einde van een carrière en zonder continuïteit bij de opvolging.” De wat hogere leeftijd heeft ook ermee te maken dat “het managers zijn, en dus al een hele tijd meedraaien [in bedrijven] waar ze wegen op het beleid. Over 20 jaar zijn ze dan ook allicht meer 45 tot 60 jaar,” aldus Renaat Verschraeghen. En “het is evenmin iets wat je op de universiteit wordt aangeleerd,” merkt Stefan Van Gansbeke (CM) op (zij het dat er terzake wel al cursussen in Nederland en Groot-Brittannië worden aangeboden). Een jongere persoon kent allicht zijn job wel, maar verliest zich te makkelijk in raamwerken en ‘best practices’, in plaats van wat werkt, en wat getuigt van realiteitszin, na te streven, klinkt het dan.

Overigens is het niet zo dat er geen nood is aan een ciso-type persoon in kleinere bedrijven, maar daar kan het geen voltijdse taak zijn. Allicht kunnen de meer technische aspecten van security worden uitbesteed aan ‘as a service’-leveranciers, maar ook kleinere bedrijven moet worden geadviseerd hoe ze security en hun zakendoen vlot met elkaar kunnen verzoenen. Wellicht kunnen hier de grotere bedrijven of organisaties uit hun ecosysteem van dienst zijn, zoals de primaire sociale zekerheid organisaties die secundaire gebruikers van dergelijke informatie bijstaan betreffende goede praktijken en dies meer.

Verschuiving naar de zakenkant

De respondenten menen wel behoorlijk wat impact te hebben op het bedrijf, met ca. 70 procent van hen die menen ‘voldoende impact’ op de dagelijkse praktijk van de werknemers in het bedrijf en op de bedrijfsprocessen/’best practices’ te hebben. Ca. 55 procent heeft een dergelijk impact op de bedrijfsstrategie op managementniveau en bij de aanschaf of ontwikkeling van niet-security gerelateerde producten. Enkel op het hoogste niveau ontbreekt het de ciso nog aan invloed, met slechts 40 procent die meent voldoende impact te hebben op de raad van bestuur.

Meteen is duidelijk dat de ciso ‘nieuwe stijl’ meer aandacht heeft voor de zakelijke kant van het bedrijf. “De ciso helpt het bedrijf om risico’s, zeg maar berekende risico’s te nemen. Hij vormt een compromisfunctie tussen de pure ict die alles wil dichthouden, en de bedrijfsleiding die zaken wil doen en snel,” aldus Olaf Jonkers (Brussels Airport). De ciso moet daarbij een kijk hebben op wat de risico’s zijn, welke zinvol kunnen worden genomen met behoud van voldoende beveiliging én wat het bijhorend kostenplaatje is. Over dat laatste aspect wordt “de discussie vaak met de ict-afdeling gevoerd en niet met de business kant van het bedrijf.”

Dat blijkt het groeiend verschil te zijn met de ict-securityverantwoordelijke, waarbij “de ciso een meer omvattende verantwoordelijkheid heeft,” aldus Marc Vael. Daar waar de ict-securityverantwoordelijke wellicht veeleer geneigd is alles dicht te spijkeren en meer gericht is op de ict-operaties, zal de ciso meer oog hebben voor de realiteit van de bedrijfswerking. “Hoe kan je een risico aanvaardbaar maken, in plaats van alles tegen te houden,” stelt Stefan Van Gansbeke, “hoe vertaal je het naar de realiteit.” Dat vereist dan wel een kennis van de taal en de belangen van de beide kampen, en een meer faciliterende aanpak. Op dat punt lijkt de ciso dan ook heel wat meer op de nieuwe generatie van cio, dan op de ict-securityspecialist van de harde lijn.

Cultuur bepaalt samenwerking

Niet dat ict-security, informatiesecurity en de bedrijfskant per definitie altijd kat en hond moeten zijn. Steeds vaker “groeit het besef dat de veiligheidsconsulent niet altijd een tegenwerkende factor is, maar een meerwaarde voor de business,” aldus Rolf Coucke (voorheen security expert bij sociale zekerheidsinstellingen, nu Ernst&Young), “steeds vaker komen personen langs [bij security] om advies.”

De cultuur in het bedrijf, en in de sectoren, speelt hier een belangrijke rol, stelt Marc Vael. “Als ciso stuur je die cultuur mee aan,” aldus Olaf Jonkers, “als je bondgenoten creëert rond een toepassing, het gebruik van informatie, dan heb je een goede samenwerking. Maar als de baas van een afdeling zegt ‘ga niet langs bij security want het antwoord is nee’ dan heb je een probleem.” Of duidelijker nog, “De ciso moet diplomatisch zijn! Mijn deur staat altijd open,” onderstreept Renaat Verschraeghen. Op termijn zullen de ouwe rotten met verouderde en verkrampte security-opvattingen toch het veld moeten ruimen, en zolang is het aan de ciso om zo goed mogelijk de dreigingen en incidenten te kaderen in de leefwereld van de ‘business people’.

Anderzijds blijkt dat als de band met de ciso maar zwakjes is, het bewustzijn bij de rest van het bedrijf veel lager ligt, zoals 20 jaar geleden of erger. Wel groeit het securitybewustzijn snel door het grotere besef inzake de bedreigingen (ook vanuit de politieke wereld, aldus Verschraeghen), maar ook door meer schrik voor de gevolgen, zoals imago verlies. Om dat alles in te schatten moet de ciso een kijk hebben op “wat de essentie is van het bedrijf,” aldus Stefan Van Gansbeke, “in de processen en de systemen. En je moet ook met de leveranciers van diensten en producten kunnen praten, als het securityniveau van hun producten onder een bepaald niveau daalt. Als ciso moet je ook vaak opruimen.”

Bij dat alles lijkt het wel dat “hoe meer gecentraliseerd de security aanpak is, hoe makkelijker het lijkt een goede security te hebben,” aldus Marc Vael, met een belangrijke rol voor personen die Certified Information Security Managers (een ISACA-certificering) zijn.

Security by design

De efficiënte ciso zal overigens niet alles inzetten op het reactief opvangen van incidenten, maar een brede verbetering van de securityaspecten nastreven. Toepassingen, processen, ze dienen ‘secure by design’ te zijn, met “bij een nieuw project telkens ook een risico-inschatting. Als het een project met hoge prioriteit en grote invloed op het bedrijf betreft, moet het ook strikter worden beheerd en moet binnen een raamwerk worden gewerkt,” aldus Renaat Verschraeghen. Toegegeven, het is vaak al moeilijk om componenten te standaardiseren en te documenteren, maar “belangrijk is het om lessen te trekken uit het verleden. In dat bedje is security vaak nog ziek, met het ontbreken van reflectiemomenten, “aldus Marc Vael. Stefan Van Gansbeke verkiest mede om die reden kleine (ontwikkelings)teams die sneller op de bal kunnen spelen.

Overigens moet een en ander binnen de mogelijkheden van het bedrijf blijven, want voor kleinere bedrijven zal een maximaal uitgebouwde ‘secure development life cycle’ allicht niet haalbaar zijn.

Meer visibiliteit

Uiteindelijk is het voor de ciso een kwestie van meer visibiliteit verwerven binnen het bedrijf. Dat betekent het zetelen in stuurgroepen van projecten, meer ook een coördinerende rol spelen tussen de verschillende security-gerelateerde spelers in een bedrijf, zoals human resources (wie vertrekt er en moet toegangsrechten worden ontnomen…), departementshoofden, de juridische afdeling en dies meer. En natuurlijk ook de bedrijfsleiding op ‘c-niveau’.

Daarbij moet de ciso ook vermijden de rol van ‘interne politieman’ te spelen, benadrukt Jean-Pierre De Vriendt (Volkswagen). Hij of zij moet wel de autoriteit hebben om gedragsveranderingen af te dwingen, maar zonder repressief te worden. En zonder iedereen aan de schandpaal te spijkeren (hoewel het kan helpen als wie volhardt in den boze op het matje wordt geroepen bij het diensthoofd of zelfs de bedrijfsleider).

Interessant is overigens dat in onder meer de privacycommissie wordt gewerkt aan minimumnormen die overheidsorganisaties en bedrijven moeten hanteren, met op termijn ook meldingsplicht bij securityinbreuken. Dan zal allicht ook reputatieschade – met klanten die allicht gaan afhaken – een rol gaan spelen in de houding van bedrijven ten opzichte van security.

Security blijft boeien

Iedereen is het er wel over eens dat security – ongeacht de druk van de dreigingen – een fascinerend onderwerp is en blijft. Het is immers een bijzonder breed onderwerp, waar je zowel te maken krijgt met technologie, personen als zakelijke aspecten. Bovendien biedt het gewoonlijk de uitdaging van een erg onafhankelijke rol in een bedrijf, vaak al lid van een klein team. Het hoeft dan ook nu niet te verbazen dat wie eens gebeten is door security, bij security blijft. Niet minder dan 90 procent van de respondenten meent dan ook over vijf jaar nog steeds in een security-gerelateerde job te zitten.

Guy Kindermans

“De ciso vormt een compromisfunctie tussen de pure ict die alles wil dichthouden, en de bedrijfsleiding.”

“Als de baas van een afdeling zegt ‘ga niet langs bij security want het antwoord is nee’ dan heb je een probleem.”