Beheer

Security

‘Get that business knowledge’

26 november 2015

Woedend was Tammy Moskites, toen haar baas haar 25 jaar geleden een baan als netwerkbeheerder niet gaf. “Ik ben in het midden van de jaren ‘80 begonnen in de IT, de tijd van mainframes en oude IBM-computers. Het was toen moeilijker voor een vrouw dan nu. Voor het bedrijf bouwde ik een AppleTalk Netwerk waarvoor ook een beheerder moest komen. Dat leek me een geschikte baan voor mezelf. De baan ging echter zonder enig overleg naar een ander. Ik was echt kwaad. Mijn manager vertelde dat ik met een rok echt niet onder bureaus kon kruipen, wat nodig was in die baan. Ik ontplofte en besloot die dag dat ik alles kan doen en worden wat ik wil. Ik ben op een toplevel helpdesk gaan werken en heb me in een half jaar opgewerkt tot teamhoofd. Uiteindelijk werd de helpdesk gecentraliseerd en werd daar antivirus geïnstalleerd. Zo ben ik in de security gegaan en zette ik bij een verzekeraar een ID-managementprogramma op.”

Inmiddels behoort Moskites wereldwijd tot de top van CISO’s. Ze leidde de beveiligingsafdelingen van Time Warner Cable en van The Home Depot. Ze is lid van de adviesraden bij Box en Qualys, zit in het bestuur van ISACA, is lid van de Security Council en werd in 2012 uitgeroepen tot North American Information Security Executive of the Year People’s Choice Winner.

Hoe is de functie van CISO ­veranderd in de afgelopen jaren?
“Die functie is gecompliceerder geworden. Het was altijd een kwestie van tooling en beschermingsmaatregelen, nu zijn compliancy en ­wettelijke regels daarbij gekomen. Ook HR, identiteit en authenticatie zijn belangrijk; je moet weten wie welke rollen heeft en goede contracten kunnen afsluiten.

Inhoudelijk is het werk ook veranderd. Vijftien jaar geleden draaide het nog vooral om anti-virus en firewalls. Nu gaat het heel sterk om asset control. Dat zijn de basics. Dus inventariseer de assets, weet wat de kroonjuwelen zijn, dan weet je wat je moet beschermen.”

Is de verhouding met het algemeen management soepeler geworden?
“Door de vele grote inbraken is er meer awareness gekomen, maar toch hoort er nog steeds een plek te zijn voor een CISO in het bestuur. In het verleden werden security-aangelegenheden zelden op de agenda gezet. Nu is het een ‘must have’.

Ook moet er een Security Governance-groep komen waarin de managers van alle businesslijnen, vertegenwoordigers van HR en – niet te vergeten! – van de interne auditors zitten. Dat overleg helpt de beveiliging te verbeteren doordat de CISO beter op de hoogte raakt van de projecten die in een organisatie lopen. In een organisatie lopen al snel vijftig projecten, waartussen vaak gaten in de IT-beveiliging vallen. Spreekt een CISO regelmatig met de bedrijfstop, dan kan de CISO laten zien dat security al bezig is voor die projecten. Het helpt ook bij het opzetten van een incident-response-programma.

Daarnaast is het van groot belang dat IT en security nauw samenwerken met de business. Een CISO moet daarom minstens een keer per kwartaal met de CEO om tafel te zitten. Security moet bij de bedrijfstop bovenaan de agenda komen te staan. Ik merk dat CEO’s daar steeds meer open voor staan.”

Worden CISO’s anders benaderd?
“Ik heb het afgelopen jaar wereldwijd zo’n 200 CISO’s gesproken. Zij merken dat het bestuur twee jaar geleden zelden tijd had voor ze, maar dat ze nu door het bestuur worden overladen met vragen. De bedrijfstop is beter op de hoogte van IT-security en kan daardoor betere vragen stellen over het onderwerp. Maar wat IT-security precies is, snapt de bedrijfstop niet. Daarom is een vaste plek voor een CSO in het bestuur belangrijk.

Ik vind het prima dat er een zekere vorm van paniek heerst over digitale inbraken. Die inbraken waren er altijd al, men had alleen geen tools om ze op te merken. Die tools zien nog steeds geen versleuteld verkeer. De bedrijfstop moet zich beter bewust worden van het feit dat er andere wegen nodig zijn om gegevens te beveiligen. Bedrijven gebruiken steeds meer technische kennis. Dat wordt een enorme ‘gamechanger’.”

Waar ligt de CISO wakker van?
“Het onbekende, dat houdt ze ’s nachts wakker. De zorgen dat er misschien een blinde vlek is. Het allergrootste probleem is echter het vinden van goede mensen. Venafi is een kleine organisatie, maar ook ik heb functies open staan, vooral seniorfuncties. Er komen geen goede sollicitanten.

De consequentie hiervan is dat we ballen zult moeten laten vallen. We moeten prioriteiten stellen en kunnen niet alle projecten goed beveiligen. Dat lossen we grotendeels op door mensen in te huren. Ja, dat is kostbaar. Maar stel dat ik een tool koop, zoals die van onszelf voor key lifecycle management, dan heb ik gewoon iemand nodig die zo’n tool kan installeren. We kunnen dat niet zelf en het kost te veel tijd om iemand daarvoor op te leiden. Dus láten we dat doen.”

Hoe komt u aan genoeg goed ­personeel?
“Het is erg moeilijk om goed gekwalificeerd personeel te vinden. Ik heb in mijn carrière veel goede teams gebouwd en als ik overstap naar een ander bedrijf volgen er nogal wat. Dat scheelt al.

Ook neem ik nogal eens mensen aan die minder diploma’s en ervaring hebben dan voor de functie vereist is. Ik vind het heel leuk om ze te zien groeien. Zoals iemand die ik een paar bedrijven geleden aannam en nu CISO is bij een heel grote Amerikaanse retailer. Het is ­alsof je je kinderen ziet opgroeien.

Ik stop veel tijd in mijn medewerkers. Of het nu om een team van tien of tweehonderd mensen gaat, ik ken ze allemaal bij naam – ook hun vrouwen of partners. Twee, maar zeker een keer per jaar heb ik met allemaal een persoonlijk gesprek. We houden veel teamvergaderingen en ik probeer veel vertrouwen te geven. Ik heb ook echt interesse in hun carrière en maak daarvoor met hen plannen die niet noodzakelijk puur op het bedrijf zijn gericht. Persoonlijke groei vind ik erg belangrijk. Ik help ze en coach ze zodat ze de plek vinden waar zij het gelukkigst zijn. Dat kan voor de één een master zijn en voor de ander een managementfunctie. Maar er zijn er ook genoeg die het liefst van 9 tot 5 werken.

Dat alles heeft in elk geval als gevolg dat ze langer bij me blijven. En ik houd veel contact met oud-medewerkers en zij met mij. Vandaag kreeg ik nog een mailtje van iemand die van 2005 tot 2007 bij me heeft gewerkt met de vraag of hij me als referentie mag noemen. Dat netwerk werkt voor hem maar ook voor mij.”

Wat is een goede kandidaat?
“Belangrijk zijn goede communicatieve vaardigheden, ondernemingsgezindheid, ‘out of the box’ kunnen denken en enthousiasme. Ik ga niet per se voor de best gekwalificeerde kandidaat. Er wordt nog veel gezocht naar mensen die voor 80 procent de juiste skillset hebben en 20 procent goede eigenschappen, maar ik ga voor 50-50. In beveiliging verandert veel zeer snel en dat moet je kunnen bijbenen. Er bestaat ook geen complete expertise in één product. Goede foundationals, daar kijk ik naar. Ken je de basics van IT en van security? Kun je goed netwerken? Ik hou ervan dat medewerkers passen in de grote ‘pasvorm’. Dat ze snappen dat ze een deel zijn van een team. Het is belangrijk dat mensen begrijpen dat ze samen moeten werken. Dat vereist groei en ook dat mensen de mogelijkheid krijgen om beslissingen te nemen.

IT was tot voor kort een No-wereld. IT weigerde veel wensen van de business. Dat kan nu niet meer. IT’ers moeten leren de tijd te nemen om de business te leren kennen. Ik stuur ze een paar dagen naar afdelingen toe waar ze oplossingen voor moeten ontwikkelen. En afdelingen ontvangen hen bijna altijd heel open. Dat contact is van groot belang want als je niet weet wat je beschermt, kun je dat niet goed doen. Dus echt partnership is belangrijk en ‘get that business knowledge’.”

Zou het verschil maken als u meer ­vrouwen aannam?
“Het is erg moeilijk om vrouwen te krijgen voor deze banen. Van de cv’s die ik krijg, is één op de 25 afkomstig van een vrouw. De vrouwen die ik aanneem moeten de beste voor die baan zijn, ik neem ze niet aan omdat ze vrouw zijn.

De uitdaging is om vrouwen in de security te krijgen. Een vrouw moet goed nadenken of ze dat ook echt wil, zeker als ze op den duur een gezin wilt beginnen. Ik heb mijn carrière op een lager pitje gezet tot mijn jongste kind klaar was met high school. Het is gewoon moeilijker om met zo’n baan vaak bij je kinderen te zijn. Ik ben zo’n 250 nachten per jaar van huis en heb heel wat etentjes, voorstellingen en andere uitjes eerder moeten verlaten omdat ik gebeld werd voor mijn werk. Dit werk houdt in dat je 24 uur per dag beschikbaar moet zijn en dan ook echt wel eens moet komen. Bij security moet je eigenlijk altijd klaar staan. Mijn man sloot ooit op een familieweekendje mijn Blackberry op in een hotelkluis. Vreselijk. Toen hij even weg was heb ik de beveiliging van het hotel de kluis open laten maken zonder dat hij het wist."

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!