Het is zo’n klassieke riedel. Ict wordt steeds belangrijker in de samenleving en ook voor onze organisatie. Nu beveiliging steeds belangrijker blijkt en het maar niet lijkt te lukken stellen we een chief security officer (cso) aan, net zoals we een chief information officer (cio) aanstelden toen we er achter kwamen dat ict ‘best’ belangrijk is. In dit artikel een pleidooi tegen deze gedachte.
Het grootste bezwaar tegen de chief security officer (CSO) is dat informatiebeveiliging van iedereen in de organisatie is. Van de receptionist die geen bezoeker zonder begeleiding langs de receptie laat tot individuele medewerkers die er voor zorgen dat ze geen usb-sticks laten rondslingeren en die daar op aan kunnen worden gesproken door hun lijnmanager en personeelszaken. Of dat de boekhoudafdeling zo is ingericht dat degene die facturen van crediteuren goedkeurt niet dezelfde persoon is die het crediteurenbestand beheert. Informatiebeveiliging is dan ook per definitie geen ict-probleem, maar een organisatieprobleem met ict-aspecten die de hele organisatie raken. Het hoort dus de verantwoordelijkheid van de ceo te zijn. Met een grote rol voor de cio, want die blijft verantwoordelijk voor de ict-kant van de informatiebeveiliging.
Sterker nog, het aanstellen van een cso zal tot dezelfde reflexen leiden als je al ziet bij chief compliance officers en chief privacy officers: het verwordt tot nog een loket waar je een vinkje moet halen en als het vinkje eenmaal gegeven is kan het niet langer meer jouw schuld zijn. Immers: de cso vond het toch goed, dus hoefde er toch niet meer over nagedacht te worden? Wat helemaal eng is aangezien onze instincten en reflexen slecht verenigbaar lijken te zijn met de alledaagse realiteit van informatiebeveiliging. Wat betekent dat we heel zelden ook intuïtief door zullen hebben dat er iets niet goed gaat.
Lek blijft lek
Gemak dient veelal de mens (zie het onzalige plan om stemcomputers weer een nieuw leven in te blazen) en de negatieve gevolgen lijken vaak te ver weg om meegenomen te worden. En ook met een cso zal lekke software lek blijven zolang broncodeaudits geen gewoonte zijn omdat softwarebouwers schermen met auteursrechten en bedrijfsgeheimen, tenzij de cso ook de bevoegdheden en budgetten krijgt om software uitsluitend om beveiligingsredenen te veranderen. Leveranciers beroepen zich in de praktijk overigens vaak het hardste op auteursrechten en bedrijfsgeheimen de code het rommeligste is. De cso leidt tot achteroverleunen van de organisatie, niet tot een blijvend groter veiligheidsbewustzijn.
Wat er wel moet gebeuren is dat we bereid moeten zijn pijn te lijden. Dus niet de boodschapper van het slechte nieuws proberen op te knopen zoals met ‘hacker’ Henk Krol is gedaan. Maar die omhelzen. Getroffenen van datalekken met gezwinde spoed informeren zodat zij kunnen voorkomen dat zij slachtoffer worden van identiteitsfraude. Organisaties zouden verwachtingen met betrekking tot de beveiliging van systemen eens nader kunnen vaststellen en uitspreken dan ‘het moet gewoon veilig zijn’. En leveranciers daar ook aan houden.
Wellicht wordt het eens tijd voor de (Europese) wetgever om daar prikkels voor te scheppen. De voorgestelde meldplicht voor datalekken kan meer betekenen voor organisaties dan welke cso dan ook. Een productaansprakelijkheid voor inherent lekke ict-producten wellicht ook. En niet te vergeten: die ambachtelijke systeembeheerder en programmeur die beargumenteerd iets willen of juist niet willen omwille van beveiliging zouden eens geen uitbrander maar een pluim moeten krijgen. Maar dat vereist de erkenning dat het mensenwerk blijft en dat we niet weg kunnen vluchten in het aanstellen van eenzame functionarissen die tegen een bierkaai van onkunde, gemakzucht en technologie-fetisjisme mogen gaan vechten.
Kortom, bij uitstek een klus voor een ceo, die toch al dienend aan het succes van de organisatie dient te zijn.
Walter,
Als ik het samenvat komt het dan neer op: “Too many chiefs and not enough indians”?
Wellicht dat verplichte meldplicht bij datalekken een verschuiving teweegbrengt van compliance naar echte security.
Ik snap de strekking, maar er wordt wel makkelijk overheen gegaan dat een CEO niet de kennis, nog de tijd, nog de focus heeft die een CSO wel zou moeten hebben.
Als het bedrijf getroffen wordt, raakt dat eindelijk de CEO ook.
Wie niet kan delegeren zal ook niet goed in groeien zijn.
Verplicht melden klinkt goed, maar als we daar ook weer clubjes voor op gaan richten missen we wellicht het doel. Het is gewoon evolutie en co-evolutie.
Er komen betere hackers die zorgen voor betere beveiliging. De volgorde waarin dit gebeurt is al eeuwen duidelijk, haha. De kunst van jou als bedrijf is om ervoor te zorgen dat jij niet het voorbeeld bent waarom de regels worden veranderd.
Geef het beestje een naam, het zal me eerlijk gezegd een zorg zijn of de CEO, CSO of Chief Epibreren Officer verantwoordelijk is.
Met je laatste zin ben ik het dus niet eens. Wat je schrijft over het belang van proactiviteit, eigen verantwoordelijkheid en het toejuichen van meldingen is veel belangrijker.
Natuurlijk is informatiebeveiliging een zaak die offline en online speelt. En er speelt meer dan ICT om dit onder controle te krijgen. Medewerkers die zich bewust zijn van hun handelen en zelf met verbeterpunten komen zijn waardevol. Dat is iets voor je CEO of CSO op moet wijzen, eigenlijk is het een stukje cultuur dat in je organisatie moet zitten. Uiteraard is het belangrijk dat je middels audits controleert of beleid ook daadwerkelijk zorgt voor verbeteringen.
@Ewout Ja, kort door de bocht komt het daar deels wel op neer. Let wel: ik noem ook maatregelen die wel effect zullen hebben op het veiligheidsbewustzijn van organisaties.
Het is maar net hoe de CSO zijn functie invult: als hij/zij zich richt op bewustwording en zorgt voor concrete kaders en richtlijnen dan is de CSO erg waardevol voor de organisatie. Achteroverleunen op dit soort ‘niet sexy’ thema’s doet een organisatie toch wel, iemand met kennis van zaken die de boel scherp houdt is dan geen overbodige luxe.
Je lijkt te impliceren dat het aanstellen van een CSO iets van de laatste tijd is. Deze functionaris is echter in de afgelopen tien jaar door vele organisaties aangesteld. Ook lijk je er van uit te gaan dat een CSO doorgaans door bedrijven gerelateerd wordt aan de ICT-functie. Ook dat is maar zeer de vraag.
De CSO heeft, net als bijv. de kwaliteitsmanager, de taak om het ISMS, het IB-beheersproces draaiend te houden en de eenduidigheid van de implementatie/exploitatie te borgen. Dat staat los van de verantwoordelijkheid voor security. De kwaliteit is immers ook de zorg van iedere medewerker (en niet uitsluitend van de kwaliteitsmanager)?
Eens met je stelling, echter sla je een aantal stappen over in het volwassen worden van de organisatie op het gebied van security. Veel organisaties hebben nog een CSO nodig om het proces in te richten en security goed te borgen. Hier onstaat echter wel het probleem, om het hoogste volwassenheidsniveau te halen, de CSO zichzelf moet uitfaseren en daar wringt de schoen.