“We hebben geen tekort aan CISO’s. We hebben een tekort aan leiders in security die nog weten wat security eigenlijk is.”

DoorFleur van Leusden
“We hebben geen tekort aan CISO’s. We hebben een tekort aan leiders in security die nog weten wat security eigenlijk is.” cover

Regelmatig lees ik in artikelen of posts op sociale media over het gebrek aan bestuurlijke kennis van CISO’s. Want CISO’s, zo veronderstelt men, die kunnen maar geen aansluiting vinden bij die bestuurders. CISO’s spreken veel te technisch. Of te operationeel. Denken te weinig strategisch. En dat zou dan de oorzaak van veel van onze eigen stress zijn.

Het lukt ons CISO’s maar niet om die board te bereiken. We brengen dingen niet goed. We snappen de bestuurlijke cultuur niet voldoende. En dat, zegt men dan, dat moet veranderen aan de kant van de CISO.

Waarom veel CISO’s uit de techniek komen

Historisch gezien komen veel CISO’s uit de technisch/operationele hoek. Security is complex en het helpt daarbij om de techniek te begrijpen. Wie daar goed in was, groeide door naar een leiderschapsrol zoals de CISO-rol. Dat mensen die technisch sterk zijn soms moeite hebben om complexe zaken simpel uit te leggen, is begrijpelijk.

In de IT en security spelen afhankelijkheden en ketens een belangrijke rol. Of iets kwetsbaar is, hangt af van context en van situaties. “It depends” is een veelgehoorde uitspraak. Dat maakt dat securityrisico’s in 1 minuut uitleggen op een simpele manier voor technisch sterke medewerkers voelt alsof je de antiquair uit het bekende filmpje bent die wordt gevraagd steeds kernachtiger een antiek stuk te omschrijven, om uiteindelijk alleen nog het woord “mand!” te zeggen (1). Je moet het soms zodanig versimpelen dat het voor je gevoel geen recht meer doet aan de situatie.

Als CISO ga je daarom op zoek naar metaforen of voorbeelden die een punt illustreren. Daarnaast probeer je alles uit te leggen in termen van businessdoelen. “We willen volgend jaar X omzet draaien, dit risico brengt dat in gevaar.”

Een goede CISO kan dus beiden; techniek begrijpen en dit (feitelijk te kort door de bocht) simpel uitleggen aan bestuurders die besluiten moeten nemen. Dat hoort bij het werk dat wij doen.

De verschuiving weg van technische inhoud

Maar steeds meer lijkt een verschuiving plaats te vinden, weg van de techniek. De nadruk komt meer te liggen op de bestuurlijke kant. Wat vreemd is, denk ik. CISO’s in Nederland zijn veelal adviseurs. Wij zijn geen bestuurders. We hebben zelden het mandaat om besluiten te nemen binnen organisaties die impact hebben op de business. Dus wat is het doel om CISO’s te werven die geen technische kennis hebben, maar alleen bestuurlijk sterk zijn?

Het voelt alsof het belangrijker is om anderen binnen de organisatie te beschermen tegen bestuurlijk aangesproken worden, dan om daadwerkelijk security risico’s te helpen managen. Want deze “new gen-CISO”, hoe gaat die eigenlijk chocolade maken van de RAVIB risico analyses? Hoe gaat deze de CVSS van 8.9 uit de pentest die maar niet gefixt wordt uitleggen aan het bestuur? Je kunt nóg zo goed zijn in bestuurlijk praten, maar als je de inhoud niet begrijpt, hoe kan je dan iets zinnigs toevoegen?

Een CISO doet veel meer dan praten met het bestuur

En daarnaast; een CISO doet veel meer dan alleen met bestuurders praten. Veel CISO’s geven ook aan de business kant advies. Ze schrijven meerjarige strategieën, verhogen de algehele volwassenheid, compliance, leveranciersmanagement en ondersteunen met business continuity. Om maar een paar punten te noemen. Een CISO zonder inhoudelijke kennis, maar met een sterke bestuurlijke achtergrond, komt in dit soort onderwerpen waarschijnlijk niet ver.

We hebben lang gezegd dat er een groot tekort is aan security experts en CISO’s. Zoals ik eerder al betoogde: we hebben geen tekort aan CISO’s. We hebben een tekort aan leiders in security, die nog weten wat security eigenlijk is (2).

Dus als de bestuurders de CISO’s echt niet begrijpen, is het dan aan de CISO’s om te veranderen? Of is het misschien tijd dat bestuurders de taal en de wereld van de CISO leren begrijpen? Moeten we als CISO’s echt eindigen in een situatie waarin we zaken zodanig moeten versimpelen dat ze een losgezongen beeld van de realiteit geven, omdat bestuurders het anders niet snappen?

Begrip moet van twee kanten komen

Uiteindelijk zullen we ergens in het midden uit moeten komen. Een CISO moet weten wat een firewall is en wat bestuurlijke keuzes zijn en hoe die goed geïnformeerd kunnen worden gemaakt. Een bestuurder moet weten wat MFA en een PDF is, en moedig genoeg zijn een verduidelijkende vraag te stellen aan de CISO als iets niet helder genoeg is.

Selecteren op hoofdzakelijk bestuurlijke competenties levert misschien zachte gesprekken op voor het bestuur en mooie PowerPoint presentaties. Ik vrees dat bestuurlijke sensitiviteit alleen, je weinig zal opleveren op het vlak van security risico’s. En aan het einde van de dag is dat wel waar je een CISO voor zou moeten willen hebben.

Als bestuurder zou je dus eigenlijk een CISO moeten willen die de techniek uitstekend snapt. Misschien af en toe dingen wat onhandig kan zeggen, maar dat kan je zelf oplossen door vragen te stellen. Organisaties die vooral CISO’s willen met het zwaartepunt op de bestuurlijke sensitiviteit, zoeken feitelijk een excuus-truus. Maar met wetgeving als de Cbw die er nu toch echt aan zit te komen, is een CISO zonder technisch inhoudelijke kennis voor jou als bestuurder ook een aansprakelijkheidsrisico geworden.

Maar wat je zaait, is wat je oogst. Uiteindelijk krijgt iedere organisatie de CISO die het verdient.

1) https://www.youtube.com/watch?v=ypSKDY4Jp3g
2) https://www.linkedin.com/pulse/geen-tekort-aan-cisos-wel-%C3%A9cht-leiderschap-fleur-van-leusden-hn92e/

Over Fleur

Fleur is een ervaren professional met meer dan 10 jaar ervaring in informatiebeveiliging. Ze is CISO bij de overheid en produceert een podcast voor CISOs, genaamd ‘CISO praat’. Haar passie ligt bij het vinden van oplossingen en het adviseren over strategische vraagstukken binnen informatiebeveiliging.

Met een focus op de technische en strategische aspecten, duikt Fleur graag de diepte in en onderzoekt oplossingen, zoals het veilig gebruik van openbare wifi-netwerken en effectieve bescherming tegen phishing. Ze is vooral geïnteresseerd in de balans tussen gebruiksgemak en beveiliging én de uitdagingen van specialistische kennis in een digitaliserende wereld.

In haar columns behandelt Fleur fundamentele uitdagingen voor informatiebeveiligers, zoals de effectiviteit van beveiligingsmaatregelen en het groeiende aanbod van beveiligingsdiensten. Ze hoopt haar lezers te inspireren tot nieuwe inzichten en innovatieve ideeën.

Vergelijkbare berichten