De CISO als welkome bondgenoot

De CISO als welkome bondgenoot

Ruim 20 jaar was Henk van Ee ICT manager binnen zorgverzekeraar De Friesland, later Achmea. In die tijd heeft hij de opkomst meegemaakt van de CISO. Lees hier zijn verhaal.

Henk van Ee heeft hij zich helemaal toegelegd op informatiebeveiliging en cybersecurity: “Als je het kunt dromen, dan kun je het ook doen …”. Zo is Henk docent Information Security aan de Hogeschool Saxion, hij rijdt het land rond met trainingen (de ‘cyberescaperoom’ in een caravan) en hij begeleidt jongeren die het als gevolg van een te goed ontwikkeld ‘cyberbrein’ lastig hebben in het reguliere onderwijs.

OPKOMST VAN DE CISO

Als manager ICT moest ik erg wennen toen de functie van CISO geïntroduceerd werd. Voorheen had je alleen te maken had met de auditfunctie als orgaan dat controleerde in hoeverre je als ICT-organisatie in control bent.  Dat betekende in de praktijk vaak heel veel ad hoc werk om de aantoonbaarheid te organiseren van de beheers- maatregelen op het gebied van informatie- beveiliging. Bij de introductie van de CISO als onderdeel van de 3 lines of defense inclusief een control framework om veel meer continu te kunnen monitoren, was mijn eerste gevoel: oh jee, nog meer mensen die ongeveer hetzelfde komen vragen als voorheen de auditfunctie. Dus nog meer druk op de IT-operatie die toch al genoeg te doen had.

BETER INZICHT IN VERANTWOORDELIJKHEDEN

Het framework dat met de opkomst van de CISO ontstond, zorgde voor een professionelere omgang met risico’s en beter inzicht in de verant- woordelijkheden. Uiteindelijk is het bestuur namelijk eindverantwoordelijk en moeten zij heldere keuzes maken over de risico’s die al dan niet worden geaccepteerd. Door het invullen van de rol van de CISO werd de organisatie en de discussie meer volwassen. Feitelijk hielp de CISO mij in het feitelijk maken van de risico’s en de te nemen maatregelen door hierover gevraagd en ongevraagd adviezen te geven aan de directie. Als die dan niet werden opgevolgd dan was helder dat de verant- woordelijkheid bij de directie lag en niet meer langer impliciet bij mij als manager ICT.

Langzamerhand begon ik de CISO dus steeds meer als welkome bondgenoot te zien en als een soort hitteschild richting senior management maar ook richting interne audit. Steeds meer werd er gesteund op het oordeel van de CISO als de beheers- maatregelen geëvalueerd werden.

SAMENWERKING TUSSEN IT MANAGER EN CISO

De CISO en de IT manager moeten vooral samen optrekken om binnen de beschikbare budgetten de juiste beheersmaatregelen te nemen passend bij de risico’s en risk appetite van de organisatie. De CISO is de ideale sparringpartner voor de IT manager bij vraagstukken rond informatiebeveiliging. 

Zeker als er een spanning bestaat tussen informatie- beveiliging en gebruikersgemak: dan is de CISO een welkome bondgenoot om de dialoog met de gebruikersorganisatie te voeren. Ook de IT manager wil namelijk een veilige omgeving.

KLEINE ORGANISATIES MET VEEL UTBESTEDING

Bij organisaties die veel uitbesteden bestaat soms het gevaar dat wordt gedacht dat de verantwoordelijkheid voor informatiebeveiliging ook is uitbesteed. Helaas is dat niet zo en dat wordt vaak pijnlijk duidelijk zodra er bijvoorbeeld een datalek is of erger een ransomware- aanval heeft plaatsgevonden. Juist het inzichtelijk maken van risico’s die ontstaan bij veel uitbesteding en opstellen en monitoren van beheersmaatregelen is een belangrijke taak van de CISO. Concreet betekent dat expliciet aandacht voor de afspraken die met de externe partij/ketenpartner zijn gemaakt rond de beschik- baarheid, integriteit en vertrouwelijkheid van de informatievoorziening. 

Dus het werk voor de CISO is hetzelfde als bij een grote organisatie, alleen de focus ligt nadrukkelijker op de relatie/koppeling met de partijen waaraan wordt uitbesteed. Juist dit structureel monitoren en evalueren is in dit soort organisaties nog belangrijker. 

UITBESTEDING VAN DE CISO FUNCTIE

De beheersing van de IT-omgeving vereist continue aanwezigheid, maar het uitvoerende werk ligt veelal bij de ICT-manager. De advisering over de te nemen maatregelen en het meehelpen inrichten van de monitoring vereist echter geen continue aanwezigheid van de CISO. Deeltijd qua aanwezigheid op de werkvloer zelf is dus een prima model, al denk ik wel dat er een full time bereikbaarheid bij hoort in geval er urgente incidenten zijn op het gebied van informatiebeveiliging. 

Een voordeel van een deeltijd invulling is ook dat nog duidelijker wordt dat de CISO niet verantwoordelijk is voor de risico’s zelf maar dat de eigenaar daarvan uiteindelijk het bestuur is. Ander voordeel is dat hij/zij ook kennis opdoet bij andere organisaties die vaak met dezelfde problematiek worstelen en kennis over dreigingen en beveiliging kan worden gedeeld. Dat is namelijk een terrein waarop je niet moet willen concurreren maar juist moet samenwerken.

OPLEIDING EN TRAINING

Henk is verbonden aan de Hogeschool Saxion waar hij veel uiteenlopende projecten met studenten en het werkveld opzet, zoals social engineering opdrachten bij zorginstellingen, risicoscans in de IT en OT-sector, het organiseren van een hackathon Ondermijning in het Buitengebied en het ontwikkelen van een handreiking moneymuling nazorg.

IT VISIBILITY ACADEMY

Vanuit het idee dat cybersecurity een gedeelde verantwoordelijkheid is van alle mensen binnen een organisatie verzorgt Henk ook awareness sessies op het gebied van cybersecurity voor verschillende doel- groepen. Dat varieert van de cyberescaperoom in caravan formaat, een cybercrisis game (rondom de dilemma’s die ontstaan bij een ransomware aanval) tot en met ‘capture the flag’ games om ontwikkelaars te leren denken als een hacker (zie bijvoorbeeld: https://ctf.it-visibility.net/login#).

GAMIFICATION

Gamification is een enorm krachtig middel om de awareness te verbeteren. In plaats van mensen te vertellen ‘hoe en wat’, laat je ze het ervaren. Dat heeft veel meer impact. Bij de games maakt Henk gebruik van bekende beïnvloedingstechnieken zoals autoriteit, schaarste of sociaal gedrag. Bij het cybercrisis game ervaren deelnemers wat er op je af komt bij een crisis. Dat helpt bij de ontwikkeling van een crisisplan en een effectief ‘incident response plan’.

HACK RIGHT TRAJECT

Tot slot begeleidt Henk ook jonge cyberbreinen (soms in het kader van het Hack Right traject van het OM). Hiervan bestaat een mooie documentaire op FryslânDOK: “The good, the bad and the internet”. Samen met Will Moonen van IT-visibility is hij druk bezig om jongeren met een cyberbrein die het lastig hebben op school vroegtijdig een kans te geven om hun talenten ten goede aan te wenden. Dat kan door ze mee te nemen in securitytesten bij MKB-bedrijven of ze demonstraties Ethical Hacking te laten verzorgen.

ADVIES VOOR DE LEZERS

Het is belangrijk om te leren van de fouten die anderen al hebben gemaakt: Lees bijvoorbeeld de evaluatie van de hack op de Universiteit Maastricht om te snappen hoe hackers te werk gaan. Uw organisatie kan maar zo het volgende slachtoffer zijn. Hackers vinden altijd een gaatje maar de vraag is: hoe goed heeft u uw digitale deuren op orde om de kans te verlagen dat ze bij aankloppen? De Universiteit deelt haar lessons learned in het Fox-IT rapport op de website van Universiteit Maastricht.

Ook goed om hierbij stil te staan bij de vraag: hoeveel tijd kan uw organisatie “stilliggen?” En wat kost dat? Verzekeraars hebben geen webshop, maar zijn wel vrijwel geheel gedigitaliseerd. Stem daarop je risico- bereidheid af.

Dit artikel maakt deel uit van het InAudit magazine #4

Meer artikelen

De Vereende is een opmerkelijke partij in de markt. Enerzijds is De Vereende een verzekeraar voor bijzondere risico's en anderzijds voert zij werkzaamheden uit voor het Waarborgfonds, het Nederlands Bureau en Pools. 
Covid-19 heeft ook voor ons interne auditors, best een grote impact gehad. Niet zozeer dat wij niet meer konden werken, maar wel dat wij dit anders moesten gaan doen. De afgelopen periode heeft ons geleerd dat veranderingen niet alleen nega...
Sinds 25 mei 2018 geldt in de gehele EU dezelfde privacywetgeving : de Algemene Verordening Gegevensbescherming (AVG). Hoe hebben organisaties deze wet geïmplementeerd, zijn de processen goed ingericht en bovenal... zijn de persoo...
Deze website maakt gebruik van cookies

InAudit maakt gebruik van cookies om de website te verbeteren en je voorkeuren te onthouden. De noodzakelijke en statistiek-cookies verzamelen geen persoonsgegevens en helpen ons de website te verbeteren. Ga je voor een optimaal werkende website inclusief embedded content druk dan op Accepteren.

Noodzakelijk
Voorkeuren
Statistieken

Lees meer over onze cookies in onze Privacy Policy.