Beheer

Security
Overleg

Moderne CISO moet beter leren communiceren

© Shutterstock
18 januari 2012

 

De CISO, de chief information security officer, moet een radicale verandering ondergaan, wil hij met succes kunnen blijven functioneren. Hij moet meer autoriteit zien te krijgen bij het management en dat vereist vooral veel betere communicatiecapaciteiten. Dat stelt Neira Jones, hoofd Payment Security bij Barclaycard. Zij sprak deze week tijdens een voorbereidende bijeenkomst voor de Europese beveiligingsbeurs InfoSecurity in Londen.

De CISO, maar ook de CIO, krijgt te maken met een toenemend aantal wettelijke eisen. Zo scherpt de EU de regels aan en bereidt zij bijvoorbeeld een bredere meldingsplicht voor op het gebied van gegevensdiefstal. Daarnaast zijn er al veel regelingen als Sox, Hipaa en PCI DSS waaraan de CISO ook moet voldoen,

“De Europese Commissie dreigt met straffen tot een half miljoen pond als je straks een datadiefstal niet binnen de gestelde tijd meldt. Dat dwingt het management ertoe na te denken over IT-beveiliging”, beaamt Shaul Efraim van beveiliger Tulin Technologies. En om dat management goed te kunnen bereiken moet de CISO “een evolutie doormaken”, volgens Jones van Barclaycard.

In 2008 functioneerde de CISO geheel anders. Hij zei vooral vaak nee op verzoeken van de organisatie. Daarbij had hij geen echte autoriteit in de hoogste niveaus van de organisaties. Dat is de laatste jaren veranderd. Steeds meer dringt het besef door dat het weinig zin heeft steeds maar ontwikkelingen te hinderen.

Meer risicomanager

CISO’s moeten zich daarom niet meer focussen op risico’s, maar juist op het nemen van risico’s om bedrijfsdoelen te halen. Ze moeten een gewaardeerde adviseur zien te worden van het management: van analist tot een facilitator en leider en risicomanager. Jones ziet dat dit begint door te dringen. Niettemin zijn CISO’s die volgens de nieuwe eisen functioneren nog op een hand te tellen, stelt zij.

Van groot belang hierbij is dat ze beter leren communiceren. Het management moet makkelijker kunnen begrijpen wat de waarde is van beveiliging. Dus moeten ze in de taal van het management leren spreken. Maar ook in de taal van de gebruikers, want de gehele bedrijfspsyche dient bewerkt te worden om een betere beveiliging te bewerkstelligen,

De City University of London is zich bewust van dit probleem en start daarom in september een tweejarige masteropleiding voor seniore CISO’s. Die richt zich juist op die betere communicatie en op het inschatten van risico’s en het doen van kwantitatieve analyses.

Van cursussen over firewalls en encryptie is hier dus geen sprake. Toch heeft de IT-beveiliger nog wel wat praktische hulp nodig om aan alle nieuwe trends en eisen te kunnen voldoen. Zo vereist de meldplicht die de Europese Commissie voorbereidt een geautomatiseerd monitoringsysteem dat 24 uur per dag monitort. Shaul Efraim van Tufin Technologies pleit ervoor om de PCI DSS-standaard te implementeren. “Uit onderzoek van Verizon blijkt dat dat de risico’s dramatisch vermindert. Er zit heel veel goeds in die standaard om je netwerk te beveiligen. Volg je die twaalf stappen, dan sta je er al heel wat beter voor.”

Zo geeft Andy Jacques, CEO van Good Technology, de tip om een ‘secure container’ aan te brengen in de eigen apparatuur van medewerkers. “Dat is dan een stukje bedrijfsvastgoed in dat privé-apparaat waar de regels van het bedrijf gelden.” Dat moet voorkomen dat goedwillende medewerkers bedrijfsgegevens naar de eigen onbeveiligde apparatuur transporteren, met alle risico’s van dien.

 

 

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Laat de klantenservice je terugbellen!