Door de steeds verdergaande digitalisering van onze maatschappij heeft de gemaskerde, met koevoet en stethoscoop gewapende brandkastkraker zich razendsnel omgeschoold tot nietsontziende cybercrimineel. Bedrijven worden steeds vaker het slachtoffer van cyberaanvallen waardoor traditionele strategieën voor informatiebeveiliging niet langer toereikend zijn. De roep naar een gespecialiseerde, organisatie-brede aanpak heeft dan ook geleid tot een nieuwe “C” in het rijtje van CEO’s, CIO’s, CFO’s en COO’s, namelijk de CISO.

De CISO (Chief Information Security Officer) speelt een cruciale rol bij de ontwikkeling en uitrollen van de cyberstrategie. Deze zet het kader uit rond informatiebeveiliging, adviseert het management, en zorgt ervoor dat dit beleid correct wordt gecommuniceerd naar alle medewerkers toe. Vooral in organisaties waar digitalisering een belangrijk proces is (geworden) wordt de functie van de CISO des te belangrijker.

Welke eigenschappen moet deze nieuwe “vreemde eend” in de organisatorische bijt hebben?

Vooreerst moet de CISO beschikken over een grondige kennis van de organisatorische, maatschappelijke en politieke ontwikkelingen zowel binnen als buiten de organisatie. De CISO moet de risico’s in kaart kunnen brengen die van buitenaf maar ook van binnenin het bedrijf de veiligheid van de informatie kunnen beïnvloeden, en dient dus te beschikken over zowel de nodige technische kennis als over een goed analytisch vermogen.

Een strategie mag nog zo goed onderbouwd zijn, zonder de “buy-in” van het topmanagement blijft dit dode letter. Het is van cruciaal belang dat de CISO zijn cyberstrategie intern “verkocht krijgt” bij het management. Zonder bewustwording, morele en financiële steun van de top is een informatieveiligheidsbeleid ten dode opgeschreven. De CISO moet dus over de nodige diplomatie en communicatie skills beschikken om het management te overtuigen. Correct adviseren en klaar en duidelijk presenteren zijn sleuteleigenschappen van een goede CISO.

Het overgrote deel van cybersecurity lekken is te wijten aan menselijke fouten. De vele phishing incidenten die dagelijks bij het CCB (Centrum voor Cybersecurity België) worden gemeld tonen duidelijk aan dat bewustwording en alertheid bij de gewone werknemer een topprioriteit is voor de CISO. Ook hier moet deze over de nodige eigenschappen beschikken om op een niet-technische manier de collega’s te overtuigen de cyberrichtlijnen nauwgezet te volgen en uit te voeren. Diplomatie, mensenkennis en kunnen omgaan met weerstand en onbegrip zijn ook hier van het grootste belang.

De CISO zal er ten slotte voor zorgen dat de nodige procedures worden opgesteld die niet alleen onheil voorkomen (proactief), maar ook de aangerichte schade na een cyberaanval kunnen opmeten en herstellen (reactief). Deze moet er dus voor kunnen zorgen dat het bedrijf, de werknemers, de bedrijfsprocessen en apparatuur van de organisatie zo snel mogelijk kunnen doorgaan met de normale bedrijfsvoering.

Ben je geïnteresseerd, wil je meer weten of overweeg je zelf de rol van CISO (beter) uit te voeren, schrijf je dan zeker in voor onze nieuwe opleiding via onze website CISO: Security Governance and Compliance.