Naomi Levi: “Innovatie gaat niet alleen over het inzetten van nieuwe tools, maar ook over het leren van je fouten”

We zien Naomi Levi, Chief Information Security Officer, tegen een witte achtergrond.

Innovatie zit niet alleen in de grote technologische ontwikkelingen, maar vooral in de kleinere, dagelijkse verbeteringen. Het is daarom belangrijk om niet alleen problemen op te lossen, maar ook daadwerkelijk van je fouten te leren: daar liggen de grootste kansen voor innovatie, zo zegt Naomi Levi.

Als fractional CISO ziet Naomi dagelijks hoe organisaties omgaan met security-incidenten, en met ervaring als CISO bij grote organisaties zoals Philips Domestic Appliances, nu Versuni, en RAI Amsterdam, weet ze hoe belangrijk het daadwerkelijk inzetten van zulke lessons learned in deze bedrijven is. In dit interview deelt Naomi haar visie op innovatie in de cybersecurity sector.

Security als dienstverlener

In Naomi’s huidige rol als fractional CISO ondersteunt ze verschillende organisaties bij hun security-uitdagingen, van het nog moeten bepalen van een cybersecurity-strategie, tot het tijdelijk overnemen van een CISO functie. “Het zijn hele variërende situaties, maar er is eigenlijk altijd wel een uitdaging.” Dit past bij Naomi’s persoonlijkheid, zo voegt ze toe. “Ik ben iemand die met heel veel energie problemen oplost.”

Hoewel er discussie bestaat over of een CISO wel parttime kan zijn, ziet Naomi juist de voordelen. “In een ideale wereld zouden alle grote bedrijven een onafhankelijke cybersecurity-afdeling hebben, die ook op bestuursniveau vertegenwoordigd is. In de praktijk wordt security echter vaak binnen de IT-afdeling geplaatst en niet als een afzonderlijke strategische prioriteit benaderd,” legt Naomi uit. “Hoewel er hard wordt gewerkt om dit te verbeteren, kost dit tijd. Voor deze organisaties kan een fractional CISO juist uitkomst bieden, bijvoorbeeld als ze bepalen welke security-strategie het beste bij ze past.”

“Daarnaast is zo’n interim CISO een hele mooie kans voor bedrijven die tijdelijk iets moeten vervullen als ze wat langer de tijd willen nemen om de ideale kandidaat te vinden,” voegt Naomi toe.

Van incident naar verbetering

Waar Naomi de grootste kansen voor innovatie ziet? “Het stukje lessons learned,” antwoordt ze resoluut. Ze illustreert dit aan de hand van een voorbeeld: een verkeerd geconfigureerde cloudomgeving die data toegankelijk maakt voor onbevoegden, en eventueel kwaadwillenden.

“Zo’n incident wordt in de praktijk bij veel bedrijven gewoon netjes opgelost. Het probleem wordt aangepakt, en er wordt misschien zelfs een incidentrapport geschreven. Maar de daadwerkelijke lessons learned, die ontbreken vaak nog.”

Volgens Naomi ligt hier juist de kans om processen te verbeteren. “Dus moet de vraag stellen: wat is de oorzaak, hoe heeft dit kunnen gebeuren en wat kunnen we doen om het te voorkomen? Zo kunnen we bijvoorbeeld het inzicht krijgen dat developer training nodig is in verband met de menselijke fout. En het change management proces analyseren en verbeteren. Ook een technische oplossing zoals cloud security posture management zou kunnen helpen. Het innovatieve zit hem erin dat je al deze op zichzelf staande dingen op zo’n manier combineert dat je je security-programma steeds robuuster wordt.”

De balans tussen business en security

Een belangrijke les die Naomi geleerd heeft is hoe je omgaat met de spanning tussen bedrijfsdoelen en security-risico’s. Ze vertelt over een recent project waarbij een marketingteam al ver gevorderd was met een IT-project voordat security erbij betrokken werd. “En toen kwam er uit het risico assessment een negatief advies. Maar het bedrijf had er al een jaar werk in zitten. Wat doe je dan?”

“Op zo’n moment kijk ik liever naar de mogelijkheden dan naar de problemen. Dit project moet hoe dan ook live. Hoe gaan we er dus voor zorgen dat we de risico’s zo veel mogelijk mitigeren naar een acceptabel niveau?” Zo’n praktische aanpak is wat Naomi betreft het voornaamste doel van een CISO en de beste manier om onze waarde te bewijzen aan de business. Door alles goed te documenteren en een concreet plan te maken voor elk risico, kon het project toch doorgaan op een veilige verantwoorde manier, vertelt Naomi.

Continue innovatie in risicomanagement

Een concrete vorm van innovatie waar Naomi aan werkt is Continuous Assessment, Continuous Remediation, of CA/CR ®, een nieuwe methodologie voor risicomanagement ontwikkeld door Pro CISO ®. “Het idee is dat we risicomanagement binnen cybersecurity niet meer benaderen als eenstatische, subjectieve beoordeling, maar als een continue cyclus waar je constant de scope uitbreidt of nieuwe controlemaatregelen toevoegt,” legt ze uit.

Deze aanpak verschilt fundamenteel van traditioneel risicomanagement, waarbij vaak wordt gewerkt met een vaste lijst van bedreigingen en controls: bij CA/CR ® wordt het juist een dynamisch proces dat meegroeit met de organisatie.

Een holistische aanpak

Een combinatie van lessen trekken uit gemaakte fouten denken in mogelijkheden, en het benaderen van risicomanagement als een continue cyclus, dat is de samenvatting van Naomi’s werkwijze als CISO.

“Ik vertrouw op een holistische aanpak in cybersecurity,” zegt Naomi. “Het woord holistisch klinkt misschien cliché, maar het is wel waar het op neer komt. Naast het implementeren van standaard beveiligingsstrategieën moeten we blijven kijken naar de systemen, naar de dreigingen, en naar de innovatiekansen: om zo het grotere geheel niet uit het oog te verliezen.”

Vergelijkbare berichten