Een CSO is een manager die verantwoordelijk is voor informatiebeveiliging. Dat is het eenvoudigste antwoord op de vraag “Wat is een CSO?”. Maar natuurlijk kan geen enkel antwoord van één zin de complexiteit van een functie als deze samenvatten. Bovendien heeft niet iedereen met de CSO-titel dezelfde verantwoordelijkheden.
Wat is een CSO?
De titel Chief Security Officer (CSO) werd eerst voornamelijk gebruikt binnen de informatietechnologie om de manager aan te duiden die verantwoordelijk is voor IT-beveiliging. Bij veel bedrijven gebruikt men de term CSO nog altijd op deze manier. Chief Information Security Officer (CISO) is echter een nauwkeuriger beschrijving van deze functie. Daarom komt de CISO-titel tegenwoordig steeds vaker voor bij managers met een exclusieve focus op informatiebeveiliging.
Wat is een CIO?
De CIO (Chief Information Officer) is verantwoordelijk voor de IT-strategie binnen een bedrijf en stuurt daarvoor alle ontwikkelingen aan.
Elke keer dat er een inbreuk plaatsvindt, onthult dit zwakke punten in de manier waarop men beveiliging benaderd. Inbreuken Zijn een geweldige manier om de verborgen zonden die een organisatie begaat te onthullen. Een van de aansprekende zwakheden is bijvoorbeeld het feit dat een bedrijf geen CSO heeft. Alle beveiligingsverantwoordelijkheden liggen dan bij de CIO.
Verantwoordelijkheden van de CIO
De eerste vraag die mensen bij een inbreuk stellen is of we de CIO verantwoordelijk moeten houden voor de inbreuk. Als een dergelijke grote gebeurtenis plaatsvindt, moeten we iemand verantwoordelijk houden voor de nalatigheid. Het is dan ook niet verwonderlijk dat iemand de schuld krijgt van de inbreuk. Het is dan wel verrassend als de beveiliging een verantwoordelijkheid is van de CIO. Het feit dat een grote organisatie geen aparte CSO heeft die een peer is met de CIO, is zorgwekkend.
Het is duidelijk dat er tijdens een inbreuk veel dingen misgegaan. Degene die verantwoordelijk is voor de beveiliging, moet ter verantwoording kunnen worden geroepen. Het is echter niet fair dat de leidinggevenden een bedrijf op deze manier structureren. Het runnen van de IT-infrastructuur (meestal een rol van de CIO) en het beschermen van de informatie (meestal een rol van de CSO) zijn namelijk twee verschillende rollen. We kunnen daarom niet van één persoon te verwachten dat hij beide effectief doet. Hoewel deze rollen soms complementair kunnen zijn, staan ze vaak op gespannen voet. Als de beveiliging onder de CIO ligt, komt hij of zij in een situatie van belangenverstrengeling.
Digitale afhankelijkheid
Allereerst hebben organisaties van enige omvang een manager nodig die verantwoordelijk is voor de informatiebeveiliging. Door de grote afhankelijkheid die bedrijven hebben van IT, moet security een plaats krijgen aan de tafel in de boardroom. Als beveiliging ondergeschikt is aan de IT, wiens primaire verantwoordelijkheid het runnen van een betrouwbare infrastructuur is, zullen er verkeerde beslissingen worden genomen en zullen er inbreuken plaatsvinden.
Een CSO beperkt risico’s
Geen CSO hebben, is vergelijkbaar met een voetbalteam zonder keeper. Om succesvol te zijn, moeten bedrijven beschikken over een betrouwbare infrastructuur en een goede bescherming van informatie. Als een organisatie alleen een CIO heeft en geen CSO, richt niemand zich op beveiliging. De risico’s zijn vrij duidelijk. Als niemand zich op beveiliging concentreert, lopen er zaken fout. Het ontbreken van een CSO betekent een gebrek aan beveiliging. Zonder een CSO komt de juiste beveiligingsinformatie niet bij de CEO aan. Als de CEO echter wel de juiste informatie over beveiliging krijgt, neemt hij andere beslissingen en lopen beveiligingsinbreuken heel anders af.
Rapportagestructuur voor CIO en CSO
De CIO en CSO moeten peers zijn. IT en beveiliging moeten gelijk vertegenwoordigd zijn in de directiekamer, zodat de CEO over de juiste nauwkeurige informatie beschikt. Doorgaans rapporteert de CIO echter aan de COO en rapporteert de CSO aan de CFO. De COO en CFO rapporteren rechtstreeks aan de executive. Hoe we een organisatie ook besluiten om het te structureren, de CIO en CSO moeten een betere rapportagestructuur hebben.
Opdat de CIO en CSO’s een effectieve werkrelatie hebben en moeten ze duidelijke verantwoordelijkheidsgrenzen hebben. Wat doorgaans het beste werkt, is dat:
- De CSO het juiste beveiligingsniveau definieert.
- De CIO de beveiliging implementeert.
- En de auditor valideert dat de beveiliging correct wordt uitgevoerd.
De beveiliging die door de CSO definieert, moet gebaseerd zijn op metrieken die we gebruiken als rapportagestructuur voor het management, zodat zij het juiste risiconiveau kunnen begrijpen. Dit moet een aanvaardbaar risiconiveau zijn. Op statistieken gebaseerde beveiliging is de sleutel tot succes. Dankzij het gebruik van metrics zijn er duidelijke richtlijnen voor wat er moet gebeuren en een gemakkelijke manier om compliance te meten.
Argumenten voor een CSO
Bedrijven moeten tegenwoordig een CSO hebben. Iedere dag dat er meer inbreuken ontdekt worden, wordt het gemakkelijk om het management ervan te overtuigen dat we een CSO nodig hebben. Het probleem is dat veel CIO’s geen CSO willen hebben. Het is voor hen gemakkelijker om hun werk te doen als ze alle aspecten van de IT-infrastructuur beheersen. De CIO lobbyt daarom meestal niet voor een beveiligingsmanager. Daarom moet er een andere advocaat zijn die de CEO kan overtuigen. De simpele vraag om de CEO te verkopen is: “Bent u tevreden met het beveiligingsniveau van uw organisatie en ontvangt u de juiste beveiligingsstatistieken om de beslissingen te nemen?”
Een actueel probleem is dat veel CEO’s een positie van een CSO willen creëren, maar de CIO hen ervan overtuigt dat ze die niet nodig hebben. Hoewel ze goede bedoelingen hebben, is het vaak de CIO die lobbyt tegen een CSO, omdat die ervoor zorgt dat hij de controle kwijtraakt of zijn werk moeilijker maakt. Wanneer een CSO bijvoorbeeld binnenkomt, maken ze vaak alle beveiligingsproblemen openbaar, waaruit blijkt dat de beveiliging niet goed werd aangepakt binnen de organisatie.
Gerelateerde artikelen
-- Printbare PDF-versie --
