Acht CISO taken
CISO’s hebben de taak om alle ballen in de lucht te houden. Het probleem is dat sommige facetten gemakkelijk over het hoofd worden gezien. CISO’s zijn Problem solvers: Van het bouwen van een veilige infrastructuur tot het blokkeren van ransomware-aanvallen tot ervoor zorgen dat intern personeel geen gegevens misbruikt of steelt. Met veel taken en weinig tijd, is het geen verrassing dat zelfs succesvolle CISO’s kritieke problemen over het hoofd zien. Hier zijn 8 taken:
1. Externe partners moeten sterk security beleid voeren
Externe partijen en serviceproviders, zijn een uitdaging om managen. Maar worden vaak het doelwit. Er wordt geadviseerd om nauw samen te werken dat ze het juiste beveiliging niveau hanteren gelang je eigen risico bereidheid. Leverancier management op het gebied van Cyber security risk management is cruciaal (Security Governance).
2. Onderzoek innovaties
Veel CISO’s komen na jaren van dienst vast te zitten in een sleur, waarbij ze zich volledig concentreren op het voldoen aan de elementaire security vereisten en compliance. Het is een houding die onvermijdelijk tot problemen leidt. Aan de cybercrime kant staan ze ook niet stil. Na verloop van tijd schaadt een CISO die niet innoveert zowel de organisatie als de eigen reputatie.
3. Neem de digitale footprint onder de loep
Het is onmogelijk om iets te beschermen wat je niet weet. Veel organisaties zijn door een datalek getroffen omdat men niet precies wist hoe en waar data stond opgeslagen. CISO’s moeten volledig inzicht hebben in de hoeveelheid en reikwijdte van data die zich bevind buiten directe controle. Wie heeft de heeft de data en welke security maatregelen zijn toegepast.CISO’s moeten zich richten op het bouwen van een cultuur en omgeving die het security team ondersteunt en hen in staat stelt succesvol te opereren. Communicatie en samenwerking is daarom de prioriteit.
4. Versterk de teambuilding
CISO’s moeten gericht zijn op het bouwen en opereren binnen de organisatie die hun IT-teams ondersteunt en hen moet laten slagen. “Effectieve cyberbeveiliging is grotendeels het resultaat van een krachtige cultuur en een geëvolueerde omgeving, een die begint met leiders aan de top”. Experts stellen voor dat CISO’s hun operations moeten analyseren en moeten overwegen om van koers te veranderen als hun teams niet met succes belangrijke facetten aanpakken of niet optimaal samenwerken, zelfs niet met ondersteuning van het management. “Tot slot moeten CISO’s ervoor zorgen dat hun teams samenwerken met strategische partners die hen kunnen helpen deze doelen te bereiken en in lijn zijn met de algemene cultuur en strategie”.
5. Wees optimistisch en denk vooruit
De Cyberwereld evolueert voortdurend. Focus op een momentopname is begrijpelijk vanuit tactisch perspectief, maar voldoet over het algemeen niet aan de strategische doelen die CISO’s zouden moeten nastreven. Te veel focus op het hedendaagse kan een organisatie kwetsbaar maken. 80% van de CISO’s zijn hier te weinig mee bezig. Kijk terug hoe de afgelopen jaren zijn opgepakt en pas hierop je strategie aan. Vaak lukt dit niet met werkwijzen op dit aan te passen.
6. Behoud investeringen
Investeringen in security tools, specialisten en incidentresponsprocessen mogen niet achter wege worden gelaten. Ze moeten allemaal periodiek worden gecontroleerd of geplande doelen (effectiviteit) wel bereikt worden. Vaak zie je dat een tool wordt aangeschaft maar helemaal niet (goed) wordt gebruikt omdat er niet genoeg tijd is bijvoorbeeld. Bekijk dit voordat het te laat is en het doelwit bent geworden van een incident. Continu (laten) testen van cybercapaciteit is key (technisch, procesmatig en de mens zelf).
7. Bouw een Enterprise eenheid op
Security, IT- en businessteams werken vaak in onafhankelijke silo’s, waardoor effectieve communicatie en snelle probleemoplossing worden belemmerd. Samenwerking helpt om Enterprise security effectiever te integreren. Observatiestrategie op bedrijfsdoelen, kan CISO’s helpen om information security effectiever te integreren.
Vaak is security blokkerend. CISO’s moeten samenwerken en actief meedenken aan business innovaties. Samen met business managers en CIO’s.
8. Ontwikkel een effectieve methode voor cyber awareness
Een te laag Cyber bewustzijn is nadelig voor de bedrijfsvoering. Het niet systematisch monitoren en het aanpassen van Security Awareness op security trends kan leiden tot geen duidelijk verband hebben met daadwerkelijke dreigingen. Let ook op belemmeringen van het gewenste gedrag. Vaak kun je awareness campagnes uitvoeren zonder het realiseren van gewenst gedrag. Dan mis je je doel.
Heeft u extra advies nodig?
Onze (v)CISO’s staan u graag te woord.