Met mobile, cloud en big data openen organisaties ware goudmijnen aan nieuwe kansen. Maar voor de chief information security officer (ciso) brengen die technologieën vooral extra uitdagingen. Hoe gaan ciso’s daarmee om? Uit IBM’s CISO Study van 2014 blijkt dat zij de basis goed op orde hebben. Tegelijk kijken ze met argusogen naar nieuwe bedreigingen van buitenaf en naar de rol die de overheid in ict-beveiliging kan spelen.
Ciso’s zijn in de afgelopen jaren een steeds belangrijkere rol gaan spelen in hun organisaties. Waren ze eerst vooral bewakers van securitytechnologie, nu nemen velen een invloedrijke strategische positie in. Uit IBM’s CISO Study 2014 blijkt dat die invloed de afgelopen drie jaar sterk is toegenomen: 76 procent van de respondenten onderschrijft die stelling. Een grote meerderheid krijgt volop interne steun, er is voldoende overleg met de andere leden van de raad van bestuur. Bovendien vindt er in 62 procent van de gevallen een afstemming van de bedrijfsstrategie plaats over alle essentiële elementen: business, it, risk en security.
Heroverweging securitystrategie
Toch zegt ook 82 procent dat het securitylandschap om hen heen in diezelfde drie jaar sterk is veranderd. Mobile, cloud en big data bieden organisaties enorm veel nieuwe kansen, maar vanuit beveiligingsoogpunt stelt de openheid van deze technologieën ciso’s voor tal van nieuwe uitdagingen. De bestaande taken – it-risico’s beheersen, omgaan met compliance en wet- en regelgeving, gebruikers ondanks alle beveiligingsmaatregelen effectief laten samenwerken – zijn intussen niet minder geworden. De meesten zeggen dan ook dat zij meer doen dan het oppoetsen van bestaand securitybeleid. Wat nodig is, is een totale heroverweging van de securitystrategie waarin rekening wordt gehouden met de enorme uitbreiding van de hoeveelheid apparaten en data en de toegenomen gebruikerseisen en bedreigingen van buitenaf.
Vooral die bedreigingen van buitenaf stellen ciso’s voor steeds meer problemen. Bijna 60 procent meldt dat aanvallers over slimmere middelen beschikken dan zijzelf. Vier op de vijf ciso’s heeft het aantal bedreigingen de afgelopen drie jaar flink zien stijgen. Het bestrijden ervan vraagt al hun aandacht, aandacht die alleen maar zal toenemen, zo vrezen zij. Ze zien het dan ook als verreweg de belangrijkste taak voor de komende drie tot vijf jaar.
Samenwerkingsverbanden essentieel
Het stijgende aantal bedreigingen ontstaat door de toegenomen openheid van it-omgevingen, mede door mobile, cloud en big data. Een succesvol antwoord op die bedreigingen ligt echter ook buiten de muren van de eigen organisatie, zeggen de meeste ciso’s. 62 procent is van mening dat zij hun beveiligingsniveaus beter op peil kunnen houden door de banden aan te halen met klanten, leveranciers en partners. Alleen door samen te bouwen aan een robuust ecosysteem waarin meerdere organisaties een rol spelen, zijn externe bedreigingen het hoofd te bieden. Minder dan de helft van de organisaties is momenteel aangesloten bij branche-initiatieven in deze richting, terwijl 86 procent van de ciso’s van mening is dat zulke samenwerkingsverbanden de komende jaren essentieel worden.
Dat is des te belangrijker omdat de meeste ciso’s zich nog richten op hun bestaande taken. Een ruime meerderheid meldt dat zij volwassenheid hebben bereikt als het gaat om het tegengaan van netwerkbedreigingen, het detecteren van malware en onderzoek doen naar de kwetsbaarheid van het eigen netwerk. Mobile, cloud en big data vragen echter om andere prioriteiten. Maar liefst 72 procent van de ciso’s laat weten dat real time data intelligence van extreem groot belang gaat worden voor de algehele veiligheid van bedrijfsgegevens. Ook op cloudgebied verwachten zij de noodzaak van sterk stijgende budgetten om de uitdagingen het hoofd te bieden. De meerderheid meldt bovendien dat zij geen adequate aanpak hebben voor het beheer van mobiele devices in hun organisatie. Tegelijk blijkt dat in de huidige it-organisaties gewoon geen tijd is voor de ontwikkeling van securitymethodieken en -tools voor deze nieuwe gebieden. Ze hebben hun handen al vol aan bestaande taken.
Grensoverschrijdende afspraken
In dat snel veranderende werkveld hebben ciso’s dagelijks te maken met wet- en regelgeving, standaarden en compliance-vereisten. De onzekerheid over de richting waarin overheden en toezichthouders zich bewegen, blijkt een groot probleem voor ciso’s. Ook het feit dat wetten en regels per land verschillen, spelen internationale organisaties parten. Los daarvan vragen ciso’s zich af of overheden juist gaan helpen of in de weg gaan zitten. Na het tegengaan van bedreigingen van buitenaf blijkt het voldoen aan wet- en regelgeving de grootste inspanning te vereisen. Tegelijk bestaan er twijfels over de manier waarop overheden bijvoorbeeld met privacy willen omgaan en denkt minder dan een op de vier ciso’s dat er binnen vijf jaar grensoverschrijdende afspraken worden gemaakt voor het bestrijden van cybercrime.
To do
Ciso’s hebben volgens Erno Doorenspleet, security-expert bij IBM Benelux, de komende vijf jaar vier dingen te doen:
1. Bestaande taken delegeren of uitbesteden, zodat er tijd vrijkomt voor het optuigen van een volwassen security-aanpak ten aanzien van mobile, cloud en big data.
2. Meer focus op leiderschapskwaliteiten en educatie, want een vernieuwde securitystrategie moet zijn plaats krijgen in de hele organisatie en daarbuiten.
3. Nog meer samenwerkingsverbanden aangaan met relevante partijen, door vertrouwen in elkaar op te bouwen en samen vast te stellen hoe ieders security impact heeft op het totale ecosysteem.
4. Rekening houden met verschillende scenario’s ten aanzien van de rol van de overheid en toezichthouders, waarbij een hechtere band met de chief privacy officer van groot belang is.
