De rol van de bestuurder verandert

“De rol van de CISO verandert!”. Zo lezen we tegenwoordig steeds vaker. Artificial Intelligence zou alles kunnen wat de CISO kan (en meer!). En zeg nu zelf, security is een verantwoordelijkheid van de lijn. Als iedereen straks de juiste kennis heeft, heb je daar geen CISO meer voor nodig. Dan gaat het gewoon vanzelf.
De CISO-rol in Nederland: van Chief tot Concern
De CISO rol is al een rol die overal wel een beetje een eigen invulling heeft. Je valt dan weer onder een CIO, dan weer onder een directeur. Soms ben je een Chief Information Security Officer. Soms een Corporate Information Security Officer. Soms een Concern Information Security Officer. Dan weer ben je alleen. Heel soms ben je daadwerkelijk leidinggevende. Dan weer heb je een (klein) team die je ‘functioneel aanstuurt’. Dat is een manier om te zeggen dat je waarschijnlijk dezelfde leidinggevende hebt als de mensen die je ‘functioneel aanstuurt’ en dus eigenlijk meer hun coördinator bent.
Ondanks dat de C kan doen denken dat de CISO een bestuursfunctie is, zoals CEO, CFO en CIO, is dat in Nederland zelden het geval. De CISO is hier veelal een adviseur met enkele controlerende taken. Mooi omschreven in vacatureteksten als: ‘je bent verantwoordelijk voor het OPSTELLEN van het informatiebeveiligingsbeleid’ (lees: je moet het opschrijven, maar je gaat niet over de inhoud). We zijn vooral verantwoordelijk voor het geven van gedegen advies en het in kaart brengen/inzichtelijk maken van risico’s. Waar in landen als de Verenigde Staten de CISO vaak wél echt een bestuursfunctie is. Waarbij je ook als CISO (mede) aansprakelijkheid draagt voor informatiebeveiliging. Wat overigens ook komt met een zeker budget en mandaat. Iets wat we hier niet echt kennen. Je zult hier een CISO niet snel de stekker uit een project zien trekken. Althans, niet zonder dat dit voor de CISO zelf nadelige gevolgen zal hebben. Dat is niet zoals wij de rol hier zien.
NIS2: toch écht ‘chefsache’?
Maar de rol verandert. Zegt men. Security is met de NIS2 nu toch écht ‘chefsache’ (onderwerp waar het bestuur iets mee moet). Iets wat we overigens ook al járen horen. En toch zie ik in al die tijd weinig verschil. Er zit zelden een CISO in een MT, laat staan een bestuur. De CISO is nog steeds veelal ondergeschikt aan een CIO, of erger; een lijnmanager. Maar bestuurders lijken nog altijd in het duister te tasten als we ze vragen om budget en capaciteit om onze organisatiedoelen veilig en compliant te kunnen bereiken. Verandert de rol van de CISO? Ik zie het (nog) niet.
Security als lijnverantwoordelijkheid
Security is een verantwoordelijkheid van de lijn, zoals dat zo mooi heet. Daar bedoelen we mee dat de CISO (in NL) niet verantwoordelijk kan zijn voor adequate beveiliging. Terecht, als je het mij vraagt. De CISO heeft immers in onze invulling meestal geen budget of mandaat. Dus dan kan je ook geen verantwoordelijkheid dragen op dat gebied. Mensen die beweren dat de rol van de CISO aan het veranderen is, geven meestal als argument dat de lijn het nu wel kan overnemen. En dat als we daar eenmaal zijn, de CISO zich er niet meer druk om hoeft te maken. Ik denk dat dit nooit gaat gebeuren.
In het verleden heb ik de eer gehad CISO te mogen zijn van een stichting die bij uitstek vol zat met experts op beveiligingsgebied. Namelijk een stichting door en voor hackers. Een aantal dingen die mij daar opvielen was ten eerste dat de CISO rol daar erg gewaardeerd werd. Waar op de werkvloer mensen soms met een boog om de CISO heen liepen, werd ik daar uitgenodigd voor alles wat men maar enigszins relevant voor mij vond. Zodanig dat ik zelf mij soms hardop afvroeg wat ik in dit overleg kwam doen, omdat het in mijn ogen niet zoveel met informatiebeveiliging te maken had.
Maar wat mij verder opviel was dat hackers in dezelfde typische valkuilen leken te stappen waar ik dat ook zag op de werkvloer. Het zijn net mensen! Ze bewaarden meer data dan ze nodig hadden. Ze bewaarden data centraal, hadden inlogportalen met makkelijk te raden wachtwoorden, enzovoorts. Dat gezegd hebbende, zodra ik als CISO vroeg: ‘Vind je dat nu zelf een slim idee?’, ging men wel direct aan de slag. Maar het bewijst denk ik iets belangrijks: zelfs in een stichting die vrijwel volledig uit – durf ik wel te zeggen – hoogstaande beveiligingsexperts bestaat, worden nog risico’s genomen waar dit niet verstandig of nodig is. Zelfs daar is de CISO rol nog van toegevoegde waarde om advies te geven en een controlerende rol te vervullen. We hebben interne regels, in hoeverre leven we die na? We worden beschuldigd van het lekken van data. Kunnen we achterhalen of dat waar is of niet?
Waarom AI of wetgeving de CISO niet vervangt
Ook als ‘de lijn’ ooit helemaal doordrongen is van beveiligingskennis, zal de CISO rol nog nodig blijven. Geen hoeveelheid Artificial Intelligence of wetgeving zal dat gaan veranderen. Ik beschrijf de rol graag aan bestuurders als de kanarie in de kolenmijn (al hoop ik dat wij niet dood neervallen); wij stellen de kritische vragen, pulken aan de rotte houten kozijnen en geven een speels duwtje tegen die stoffige server in de hoek waarvan niemand weet wat erop staat totdat blijkt dat ons hele netwerk erop leunt.
Dan zijn er nog de argumenten dat de CISO rol van een technische rol meer verschuift naar compliance/business leider. We zouden nu meer strategisch moeten denken en minder technisch. Iets waar ik altijd een beetje van moet grinniken. Ik vergelijk de CISO-rol graag met die van de CFO. Het is niet zo dat alles wat met financiën te maken heeft, direct op het bordje van de CFO terechtkomt. Een beetje budgetteren en factuurtjes betalen, dat mag de lijn lekker zelf doen. Maar als het écht spannend wordt, dan betrekken we daar toch even de CFO bij. Hetzelfde gaat op voor de CISO.
Maar niemand haalt het in zijn hoofd om te beweren dat de CFO rol vooral ‘business leider’ en ‘strategisch’ is, maar dat de CFO zelf inhoudelijk niets van financiën hoeft te begrijpen. Niemand wil een CFO die goed met bestuurders kan praten, maar inhoudelijk niks van financiën weet. ‘Daar heb je jouw team voor. Om de inhoud te snappen en daarmee aan de slag te gaan.’ Zie je het al voor je? Waarom vinden we dat dan wel logisch als we over de CISO rol praten? Wie wil er een CISO die ‘strategisch’ is, maar niet weet wat een firewall is? Het is niet het één of het ander. Als CISO doe je beiden. Je moet én goed snappen hoe besturen werkt, daarop kunnen inspelen én je moet de techniek genoeg begrijpen om te snappen wat je adviseert/vraagt van bestuurders.
De CISO kan het wel: techniek én bestuur
Maar kunnen CISO’s dat eigenlijk wel? Nou. Ja. Dat is niet anders dan hoe de rol van oudsher al was. Het klopt dat we veelal vanuit de techniek in de rol zijn gegroeid. En voor velen is de taal van bestuurders iets wat we hebben moeten leren. Sommigen (overigens meestal niet-CISO’s) beweren dat CISO’s de taal van bestuurders onvoldoende beheersen. Ik denk dat men dit vooral op anekdotisch bewijs baseert. Het is niet alsof bestuurders Swahili spreken. Als bestuurders niet begrijpen wat een CISO zegt, is dat dan per definitie de schuld van de CISO? Als een bestuurder niet eens weet wat een PDF is en alle mails door zijn secretaresse laat tikken omdat hij niet weet hoe je een computer moet bedienen (heb ik echt meegemaakt!), wie moet er dan meer over wiens ‘taal’ leren?
Verandert de rol van de CISO? Ik denk van niet. Ik denk dat de rol van de bestuurder verandert. Ik denk dat de bestuurder steeds slechter weg komt met het ‘wegstoppen’ van de CISO rol onder meerdere managementlagen en de CIO. Dat de bestuurder naar de buitenwereld steeds minder goed kan verkopen dat zij te weinig technische kennis hadden om te begrijpen wat MFA is en we daardoor gehackt zijn.
Lang leve de CISO!

Over Fleur
Fleur is een ervaren professional met meer dan 10 jaar ervaring in informatiebeveiliging. Ze is CISO bij de overheid en produceert een podcast voor CISOs, genaamd ‘CISO praat’. Haar passie ligt bij het vinden van oplossingen en het adviseren over strategische vraagstukken binnen informatiebeveiliging.
Met een focus op de technische en strategische aspecten, duikt Fleur graag de diepte in en onderzoekt oplossingen, zoals het veilig gebruik van openbare wifi-netwerken en effectieve bescherming tegen phishing. Ze is vooral geïnteresseerd in de balans tussen gebruiksgemak en beveiliging én de uitdagingen van specialistische kennis in een digitaliserende wereld.
In haar columns behandelt Fleur fundamentele uitdagingen voor informatiebeveiligers, zoals de effectiviteit van beveiligingsmaatregelen en het groeiende aanbod van beveiligingsdiensten. Ze hoopt haar lezers te inspireren tot nieuwe inzichten en innovatieve ideeën.