Je hebt uitgekeken naar vandaag: je eerste dag als nieuwe Chief Information Security Officer (CISO)! Je bent klaar om de wereld te redden, en met ‘de wereld’ bedoel ik de meest kritieke activa van je bedrijf. Je hebt je chique cyberbeveiligingsheldencape gestreken en bent helemaal klaar om te praten over strategie en bedrijfsafstemming. Maar hoe begin je?

In dit artikel schetsen we de belangrijkste aandachtspunten voor je eerste 100 dagen om je te helpen jezelf te profileren als beveiligingsleider en alle noodzakelijke stukjes op hun plaats te leggen om beveiliging en risicobeheer tot drijvende krachten achter succes te maken.

Klaar? Laten we ervoor zorgen dat de beveiligingsstrategie de bedrijfsdoelstellingen ondersteunt.

Sterke relaties opbouwen

Concentreer u tijdens uw eerste weken in deze nieuwe functie op het opbouwen van relaties en het verkrijgen van inzicht in de organisatie, de cultuur en de bedrijfsdoelstellingen. Uw invloed binnen de organisatie hangt rechtstreeks samen met de sterkte van uw relaties en, misschien nog wel belangrijker, het vertrouwen dat mensen in u hebben. Neem het initiatief om tijd vrij te maken in uw agenda voor zowel formele als informele contactmomenten om af te stemmen met uw collega’s van alle afdelingen. Reageer niet op geïsoleerde incidenten, maar zoek naar patronen die u kunnen helpen bij uw risicobeoordeling. Zorg dat u inzicht krijgt in de compliance-omgeving waarin u gaat werken. Analyseer situaties zorgvuldig voordat u actie onderneemt. Identificeer meetcriteria die bedrijfsleiders ondersteunen. Vul dit aan door uw kennis en expertise te delen wanneer dat gepast is, vooral als u daarmee snel resultaten kunt boeken, omdat dit uw relaties versterkt en een platform voor verandering biedt. Vergeet niet dat uw hoogste prioriteit daarbij is om uzelf te blijven. Dat versterkt het vertrouwen en werkt als een krachtvermenigvuldiger.

Eerste prioriteit: Authenticatie

Er is veel discussie over de balans tussen IT en beveiliging als het gaat om het bezit van tools en functies in de infrastructuur. De meeste inbreuken vinden plaats via gecompromitteerde inloggegevens. Er zou geen discussie moeten zijn over het feit dat beveiliging nauw betrokken moet zijn bij alles wat te maken heeft met authenticatie (AuthN) en autorisatie (AuthZ). Werk samen met uw IT-operations- en DevOps-teams om een basiskennis te krijgen van de toolchain die binnen de organisatie wordt gebruikt. Nadat u inzicht heeft gekregen in de tools en hun fundamentele functies, voert u een eerste audit uit om te bepalen wie toegang heeft tot wat en brengt u het AuthN/AuthZ-landschap in kaart. De belangrijkste aandachtspunten in dit proces zijn:

Controleer de dekking van multi-factor authenticatie (MFA).
Controleer de dekking van single sign-on.
Beoordeel de processen voor het beheer van de toegangscyclus (onboarding, offboarding, mutatie).
Inventariseer geheimen en de bijbehorende beheerprocessen.

Must have: Vulnerability Management en Patching

Naast misbruik van inloggegevens, maken veel hackers nog steeds gebruik van bekende kwetsbaarheden. Hoewel ‘zero-day kwetsbaarheden’ vaak de krantenkoppen halen, blijven organisaties wereldwijd te maken hebben met de meer voorkomende ‘alledaagse kwetsbaarheden’. Dit zijn oudere, bekende zwakke plekken die het grootste deel van uw aanvalsoppervlak uitmaken en een directe invloed hebben op uw huidige beveiligingsstatus. In uw rol als CISO moet u een goed begrip hebben van de werkelijke beveiligingsrisico’s. Deze taak is veel complexer dan alleen alles scannen en pdf-rapporten verspreiden binnen de organisatie.

Als er geen tools beschikbaar zijn, begin dan met eenvoudig scannen dat u zowel op infrastructuur- als applicatieniveau kunt uitvoeren. Nogmaals, concentreer u op patronen in plaats van op individuele bevindingen. De gegevens die u verzamelt, zullen veel inzichten opleveren als u verder kijkt dan de oppervlakte.

Wat is de status van de patchprocessen van uw organisatie?
Wat is de toestand van uw externe infrastructuurcomponenten?
Welke delen van uw organisatie zijn kwetsbaar?
Zijn er aanwijzingen voor persistentie of herhaling?
Wat zijn de 10, 25 of 50 belangrijkste punten die, indien opgelost, de blootstelling aanzienlijk zouden verminderen?

Met die gegevens in handen kunt u productieve gesprekken voeren met belanghebbenden in uw hele organisatie. Vergeet niet dat uw rol hier die van curator is en niet die van verslaggever. Iedereen weet waarschijnlijk dat er kwetsbaarheden bestaan. Het is uw taak om de meest kritieke kwetsbaarheden te selecteren die de blootstelling verminderen en context te bieden, zodat degenen die verantwoordelijk zijn voor mitigatie hun werk zo effectief mogelijk kunnen doen.

Data in de hele organisatie begrijpen

Elke organisatie draait tegenwoordig om data, waardoor dit ook voor u een prioriteit is. Zorg ervoor dat data een terugkerend onderwerp blijft bij uw stakeholders terwijl u uw sociale netwerk binnen uw nieuwe bedrijf opbouwt.

Heeft u specifieke vereisten op het gebied van datacompliance?
Hoe worden data opgeslagen, verwerkt en overgedragen?
Waar bevinden de data zich en wie of wat heeft er toegang toe?
Is het proces voor het beheer van de levenscyclus van data eenvoudig?

Dit is waarschijnlijk ook het moment waarop u back-up- en herstelactiviteiten evalueert en uw eerste gegevens(beschermings)effectbeoordelingen uitvoert.

Uw Strategische Security Roadmap opstellen

Naarmate u meer inzicht krijgt in de realiteit waarin u werkt, is het tijd om uw roadmap te ontwikkelen om vooruitgang te boeken. Ik raad u aan om een ‘groot plan’-aanpak te vermijden. Begin in plaats daarvan met kleinere, iteratieve veranderingen en verbeteringen die duidelijk gericht zijn op het verminderen van geïdentificeerde risico’s en het vergemakkelijken van het werken binnen uw bedrijf. Dat laatste wordt vaak over het hoofd gezien, maar het cumulatieve effect van het vergemakkelijken van ‘veilig werken’ is aanzienlijk. Kleine successen op het gebied van beveiligingsactiviteiten, incidentrespons en risicobeperking zullen uw aanpak versterken. U wordt een bondgenoot in plaats van een beveiligingsteam op te bouwen dat vooruitgang bemoeilijkt.

Conclusie

Ten eerste heb ik compliance niet apart behandeld, en dat is bewust. Als nieuwe CISO ben je in je eerste dagen op je werk afhankelijk van anderen binnen je organisatie voor informatie over steeds veranderende vereisten. Dit maakt dit onderwerp tot een prioriteit in je gesprekken met verschillende belanghebbenden en medewerkers tijdens je eerste 100 dagen. Het is duidelijk dat compliance, zowel op juridisch als op regelgevend vlak, tegenwoordig een belangrijk onderdeel is van elk beveiligingsprogramma, maar vergeet niet dat compliance niet hetzelfde is als beveiliging. Op de lange termijn moet compliance een natuurlijk resultaat worden van een gericht en op het bedrijf afgestemd beveiligingsprogramma.

Tot slot wil ik opmerken dat er geen eenduidige checklist bestaat om een succesvolle CISO te worden, zeker niet binnen een beperkt tijdsbestek van 100 dagen. Onthoud dat het geen inspanning is die ‘groot effect’ heeft. Er zullen onderweg grote overwinningen zijn, maar uw succes hangt af van kleine, iteratieve veranderingen die meetbare verbeteringen opleveren. Raak niet ontmoedigd als de vooruitgang traag lijkt! Vier in plaats daarvan de kleine overwinningen met uw collega’s en andere betrokken teams.

Wees beter voorbereid om uw rol als CISO op u te nemen

Ons volledige Certified CISO-trainingsprogramma biedt u een intensief overzicht van de aspecten die nodig zijn om als Chief Information Security Officer een helikopterview te krijgen op de cyberbeveiligingskwesties binnen uw organisatie.

Wees op je best en boek het volledige traject voor gecertificeerd CISO!

Security Leader: Full CISO Certification Track 7 Modules

Uw eerste 100 dagen als CISO. Een praktische aanpak.