Wat zijn de belangrijkste vaardigheden en kennisgebieden die vandaag verwacht worden van een CISO? Uit onze praktijk blijkt, dat er tenminste 3 belangrijke gebieden zijn.
-
Technische kennis gerelateerd naar de business.
Kennis van techniek is altijd al een belangrijk onderdeel geweest van de bagage van een CISO en zal ook in de toekomst een van de fundamenten van deze functie blijven. Ondernemingen, onze maatschappij in het algemeen, worden steeds afhankelijker van techniek om hun doelstellingen te bereiken. Kennis van deze techniek zorgt ervoor, dat de CISO vertrouwd wordt door de overige bedrijfsonderdelen die zich bezig houden met zaken als software ontwikkeling, ontwerp en beheer. Er wordt dus meer gevraagd dan alleen de voorbereiding op mogelijke bedreigingen en aanvallen.
In plaats van enthousiasme voor een mooie tool, dient de vraag gesteld ” Wat is de impact van deze technologie op onze business?” Waar het bijvoorbeeld gaat om data loss prevention DLP, logische toegangscontrole, maar ook mobile computing of security incident management.
Waar de business de mogelijkheden van dergelijke nieuwe technologie beoordeelt, is het de rol van de CISO om inzichtelijk te maken welke risico’s verbonden zijn aan het gebruik van nieuwe technieken en toepassingen. Een goed voorbeeld is het gebruik van tablet computers. Veel organisaties zien hoe ze hiermee opnieuw hun productiviteit kunnen verhogen en de bereikbaarheid kunnen verbeteren De rol van de CISO daarbij is dan om duidelijk te maken welk risico gepaard gaat met het gebruik van dergelijke systemen, hoe ze veilig in gebruik te nemen in overeenstemming met beleid en wet- en regelgeving. Zakelijk inzicht dus, gepaard aan kennis van technologie.
Waar eerder de benchmark de security community was, is dat nu veranderd. De business bepaalt nu welke kennis en vaardigheden benodigd zijn. Wie vroeger een expert in het beveiligen van een netwerk was, of een uitstekende penetratie tester, speelde een belangrijk rol in het opstellen en het implementeren van informatiebeveiligingsbeleid. Nu ben je specialist, maar geen lid van het management team. Niet omdat de kennis minder waard is, maar omdat alle overige leden van dat team hun specialisme in dienst stellen van de business. Een CISO moet net als een CIO of een CFO begrijpen hoe de organisatie functioneert en wat de in en externe factoren zijn, waar de organisatie mee te maken heeft.
-
Communicatie.
Wie een security maatregel goed geimplementeerd wil krijgen moet in staat zijn om op elk niveau van de organisatie te communiceren. Zonder begrip van mensen en culturen, de verschillende bedrijfsonderdelen en de soms verschillende belangen is de implementatie gedoemd te mislukken. Wie kan luisteren en de vertaalslag maken kan naar de reden van de maatregel voor de betreffende afdeling, man of vrouw, zal hier wel in slagen.
-
Leiderschap.
Juist vanwege de veranderende omstandigheden, waar informatiebeveiliging en privacy vraagstukken de organisatie op volkomen nieuwe manieren raakt, maken het nodig dat een CISO ook een voortrekkersrol kan nemen. De gewenste verandering binnen een organisatie komt ook voor een belangrijk deel op het bord van de CISO, die dan ook een duidelijke boodschap en visie moet kunnen vertolken. Niet alleen naar de mensen die het al weten, maar juist naar diegene die er tot nu toe hun schouders over ophaalden. Daar is mensenkennis en leiderschap voor nodig.