Uitdaging van de CISO

Als securityprofessional met ruim twintig jaar ervaring begrijp ik hoe moeilijk het is voor CISO’s om hun organisatie veilig te houden. Ze hebben immers een flinke verantwoordelijkheid en maar beperkte middelen.

Zo zijn zij verantwoordelijk voor alles op het gebied van informatieveiligheid. Van het buitenhouden van hackers door middel van technische middelen tot en met schrijven van beleid, het beantwoorden van auditverzoeken, en het rapporteren aan de directie. Hier staat vaak een beperkt budget tegenover, optioneel in combinatie met een onlogische rapportagelijn (zoals die naar IT) en een relatief klein team van securityprofessionals.

Niet in de laatste plaats omdat goede hulp moeilijk is te vinden. Het juiste talent ligt immers niet voor het oprapen. Securitycertificeringsorganisatie (ISC)2 geeft op basis van eigen onderzoek aan dat er een wereldwijd tekort is van 3 miljoen mensen om de cyberveiligheid van organisaties te kunnen waarborgen.

De oplossing lijkt voor de hand te liggen: meer automatiseren. Meer technologie. Op die manier kan er meer met minder mensen. Toch blijkt dat voor steeds meer organisaties geen wondermiddel. Zeker niet als we weten dat 74% van de cyberaanvallen menselijk falen gebruikt om technische beveiligingsmechanismen te omzeilen.

Zelf een security awareness programma ontwikkelen, implementeren en uitvoeren

Steeds meer bedrijven geloven daarom dat medewerkers meer kunnen bijdragen aan cyberveiligheid van de organisatie door zich bewust te zijn van de risico’s van het verwerken van informatie en hun handelen daarop aan te passen. Maar dat is geen simpele taak. Het bijscholen van leken met een klein team, beperkte kennis, vaardigheden en ervaring is lastig. Ik spreek dan ook regelmatig met bedrijven die maar moeizaam succes weten te halen met hun bewustzijnsprogramma. De grootste uitdagingen even op een rij:

1. Beperkte middelen (daar is ie weer)

De meeste securityteams zijn zeer efficiënt en dat is pure noodzaak. Met een relatief klein team moeten ze het hele security spectrum bestrijken, van strategie naar operatie. Zij komen vaak niet toe aan zaken die (volgens de business en management) niet primair zijn.

2. Expertise

Een grote uitdaging met betrekking tot securitymanagement is het op de hoogte blijven van relevante dreigingsinformatie en het vertalen ervan naar effectieve beveiligingsmechanismen. Dit is een tijdrovende klus.

3. Betrokkenheid personeel

Bedrijven die (fysiek) gevaarlijke activiteiten uitvoeren, zoals bij voorbeeld chemiebedrijven, weten dat het creëren van bewustzijn voor risico’s geen eenmalig project is. Het moet continue onder de aandacht gebracht worden. Dat geldt dubbel voor informatierisico’s: die zijn immers niet direct zichtbaar.

4. Betrokkenheid management

De directie en het management bepalen voor een groot deel de cultuur van de organisatie. Om de norm te kunnen stellen is het belangrijk dat zij zich bewust zijn van informatierisico’s. Hoe minder dit het geval is, hoe kleiner de kans dat het securityteam de tijd, middelen en ondersteuning krijgt om een goed programma vorm te geven en uit te voeren. Maar ook: hoe kleiner de kans dat het lager management haar medewerkers de ruimte geeft de activiteiten in het programma te prioriteren.

Als deze problemen in minder of meerdere mate spelen, kán uitbesteden een uitkomst zijn. Maar zodra die beslissing is genomen, dient de volgende uitdaging zich alweer aan:

Welke criteria gebruiken we om de juiste partner te selecteren?

Selectiecriteria

Selectiecriteria voor het uitbesteden van een security awareness programma zijn in principe voor elk bedrijf anders omdat ze afhankelijk zijn van het doel van het programma (wat afgeleid zou moeten zijn van de risico’s die behandeld dienen te worden). Is het doel om te voldoen aan wet- en regelgeving, dan zal het programma er waarschijnlijk anders uitzien dan een programma gericht op de algemene veiligheid van de organisatie.

Onderstaand geef ik een overzicht van de – in mijn ogen – belangrijkste criteria.

Kwalificaties van de Dienstverlener

Zoals bij elke uitbesteding van diensten is een vereiste dat de potentiële outsourcing partner over de juiste kennis en kunde beschikt. Om je te behoeden voor veelvoorkomende fouten is daarnaast ook ervaring met vergelijkbare programma’s bij vergelijkbare bedrijven een fijne bijkomstigheid. Check daarom altijd de ervaring en reputatie van de partijen die je wilt uitnodigen door in je netwerk navraag te doen. Vraag ook om referenties, hoewel dat geen garanties geeft: een referentie die wordt aangedragen door de potentiële dienstverlener zal waarschijnlijk een rooskleurig beeld schetsen.

Dienstverlening

Bij veel van de projecten die wij uitvoeren ligt de focus op de vorm en de uitvoer van de interventies zélf, zoals workshops, phishing- en crisissimulaties. Maar om die interventies op het juiste moment, in de juiste vorm en met maximale impact te kunnen leveren is het minstens zo belangrijk aandacht te besteden aan het proces. Met andere woorden, het is zaak antwoord te kunnen geven op de onderstaande vragen.

• Hoe komen we tot een passend programma?
• Welke risico’s adresseert het programma c.q. wat is het doel?
• Hoe bereiken effectief we de verschillende doelgroepen binnen de organisatie?
• Hoe zorgen we voor begrip en betrokkenheid van het management?
• Bij welke functies/personen beleggen we welke verantwoordelijkheden?
• Hoe bereikt het programma zijn doel?
• Hoe wordt het effectief geleid en bestuurd?
• Hoe garanderen we het hoogst mogelijke niveau van dienstverlening?
• Wat verwachten we van elkaar in die gevallen waar het proces teams (en dus verantwoordelijkheidsgebieden) overstijgt?
• Wat zijn de afspraken bij een significante wijziging van de huidige situatie?

Om bovenstaande vragen te kunnen beantwoorden, adviseer ik daarom altijd om selectiecriteria op te stellen die vragen naar de door de potentiële partner gebruikte methode, het niveau van programma- en servicemanagement, gebruikte ‘governance’ en het niveau van dienstverlening (de zogenaamde ‘service-level agreement’).

Voor organisaties die opereren in een dynamische omgeving is het opnemen van alternatieve scenario’s die de dynamiek reflecteren belangrijk. Hoe integreren we bijvoorbeeld een nieuw bedrijfsonderdeel bij acquisitie? Hiermee krijg je vooraf een duidelijk inzicht in de wijze waarop de potentiële outsourcing partner hiermee omgaat in zowel organisatorische, als financiële zin. Op die manier zorgt de CISO voor een flexibel en schaalbaar programma.

Interventies

Interventies zijn methoden en technieken die worden gebruikt om het gedrag van medewerkers te veranderen en daarmee informatierisico’s te verlagen. Je kunt hierbij denken aan bij voorbeeld e-learning modules, workshops, games en simulaties. Op het moment van het uitbesteden van het security awareness programma weet je meestal nog niet precies welke interventies je gaat inzetten. Je zoekt immers een partij die gaat helpen bij de ontwikkeling, implementatie en uitvoering.

Onderzoek daarom goed welk type interventies worden aangeboden door de potentiële outsourcing partner, maar ook in welke mate zij ervaring hebben bij de uitvoer, en de expertise om deze aan te passen op basis van risicovolle situaties die zich binnen jouw organisatie voordoen. Onthoud goed dat dit een markt is die zich snel ontwikkelt, dus vooraf bespreken hoe het innovatieproces van de partner werkt kan veel opleveren.

Communicatie

Het succes van een security awareness programma is afhankelijk van goede communicatie. Medewerkers (en management) moeten simpelweg worden overtuigd van het nut van het programma en de interventies. Het moet duidelijk zijn dat het programma bijdraagt aan de doelstellingen van de organisatie, maar vooral dat het hen helpt persoonlijke doelstellingen te behalen. Is het personeel niet overtuigd, dan zullen zij niet participeren en is het ultieme doel van risicoverlaging ver weg. Communicatiespecialisten zijn daarom onlosmakelijk verbonden met security awareness en de kennis en kunde van de potentiële partner is dus een belangrijk selectiecriterium.

Culture-fit

Naast de bovenstaande elementen is er als laatste ook een meer filosofische keuze te maken. In security awareness komen feitelijk twee expertisegebieden samen: psychologie en informatiebeveiliging. De meeste spelers op de markt hebben een duidelijke achtergrond in een van beide gebieden. Het is een element van ‘culture-fit’ waar niet lichtzinnig over gedacht mag worden, omdat het een stempel drukt op de manier waarop het programma vormgegeven zal worden.

Conclusie: kies een partner op basis van de juiste criteria

Uitbesteden van een security awareness programma aan de juiste partner kán de kans op succes flink verhogen. Maar dan wel in die gevallen waar de juiste partner wordt gekozen. Daar gaat het vaak mis: security awareness is een jong gebied in ontwikkeling en door beperkte kennis en ervaring binnen het eigen securityteam wordt mijns inziens te vaak een partner gekozen op basis van een te beperkte set aan selectiecriteria.

Met dit blog heb ik geprobeerd aan te geven welke elementen in mijn ervaring belangrijk zijn en hoop ik een bijdrage te leveren aan een betere match tussen potentiële aanbieders en klanten van security awareness diensten.