Van tegengestelde belangen tot de angst voor baanverlies na een incident. Met de alsmaar groeiende digitale dreigingen ligt de rol van de chief information security officer (ciso) onder het vergrootglas, blijkt uit onderzoek van Motivaction in opdracht van Ictivity. Computable sprak met Dimitri van Zantvliet, oprichter van Ciso Platform Nederland en cyberdirecteur en ciso bij de Nederlandse Spoorwegen, die niettemin optimistisch blijft.
Onderzoeksbureau Motivaction ondervroeg in opdracht van ict-adviesbedrijf Ictivity 382 securityverantwoordelijken bij organisaties met meer dan honderd medewerkers. Die ict-managers, functionarissen gegevensbescherming (fg’s), securityofficers, cio’s en ciso’s beantwoordden vragen over hun organisatie, hun vakgebied en zichzelf.
Computable pikte een aantal opvallende uitkomsten uit het onderzoek en legde ze voor aan de mede-oprichter van Ciso Platform Nederland, Dimitri van Zantvliet, die ook werkzaam is voor de Nederlandse Spoorwegen.
In het onderzoek komt naar voren dat 43 procent van de eindverantwoordelijken druk ervaart door tegenstrijdige belangen binnen zijn organisatie. Onder medeverantwoordelijken is dat 32 procent. Zoals de wens vanuit de directie om nieuwe technologie snel in te voeren om de concurrentie voor te blijven, terwijl een securityprofessional dit liever eerst grondig test op kwetsbaarheden.
Herkent u het spanningsveld tussen directie en ciso?
‘Allereerst fijn dat Ictivity onderzoek naar ons vakgebied heeft gedaan. Je kunt op twee manieren naar de rapporten kijken: met een zure blik of met een optimistische. Laat ik van de laatste zijn. Als 32 procent te veel druk ervaart, dan geldt dat niet voor 68 procent, de meerderheid. En dat is wat wij herkennen. Natuurlijk zijn er organisaties waar het slecht geregeld is, er mismanagement speelt en wellicht ook de ciso net nog even te onervaren is. Dat heb je in alle vakgebieden, niet alleen in cyber. Over het algemeen maakt de beroepsgroep een ontwikkeling door en is ook het senior management steeds beter op de hoogte van de complexiteit en de uitdagingen in het vakgebied. Uitzonderingen daargelaten natuurlijk.’
Heeft u voorbeelden van situaties waarin prioriteiten uiteen lopen?
‘De ciso moet concurreren met meerdere collega-managers om resources en dat hoort er nu eenmaal bij. Je moet het spel om de centen weten te spelen en de taal van het bestuur praten. Naast een MSc op cyber kan een MBA geen kwaad, zorg dat je je breed ontwikkelt als je de weg naar boven wilt bewandelen. Zorg dat je een goede relatie hebt met de cfo’ (lacht).
Hoe kan deze situatie worden opgelost?
‘Een bedrijf dat steeds maar tegen het “department of NO” aanloopt en daardoor technologisch achterblijft gaat het ook niet redden. Cybersecurity is een business enabler en zo hoort het ook ingezet te worden. Lekker samen innoveren met cyberveiligheid ingebakken by design en default.’
De meerderheid van de securityprofessionals (63) voelt vertrouwen vanuit de organisatie over de aanpak op securitygebied. Toch vreest bijna een kwart (23 procent) voor hun baan als er data onder hun verantwoordelijkheid uitlekt.
Kent u of uw achterban de angst om een baan te verliezen na een groot cyberincident?
‘Nee, niet bij de meerderheid. Onze Nederlandse ciso’s zijn redelijk honkvast en ontwikkelen zich beter en breder om met de druk en de schaarste aan middelen om te gaan. Ik ken wel gevallen buiten Nederland waarin ciso’s zijn ontslagen na een beveiligingsincident. Het enige voorbeeld dat ik ken in Nederland is een ciso die valsheid in geschrifte had gepleegd en een taakstraf kreeg. Het kan wel zo zijn dat de gemoederen tijdens een zwaar incident wat te hoog oplopen en partijen daarna een ander pad verkiezen. Dat gebeurt ook in andere vakgebieden en is niet uniek voor cybersecurity.’
Een ciso in loondienst is niet hoofdelijk aansprakelijk bij een incident, de directie is dat wel
Hoe leg je vast dat een ciso niet hoofdelijk aansprakelijk is en gebeurt dat ook in de praktijk?
‘Een ciso in loondienst kan per definitie niet hoofdelijk aansprakelijk zijn tenzij er strafbare handelingen verricht worden. De bestuurder van de organisatie is en blijft zelf aansprakelijk. Mocht een ciso worden ingehuurd als zzp’ers dan is het raadzaam hier goede afspraken over te maken en te zorgen voor een beroepsaansprakelijkheidsverzekering.’
In het onderzoek wordt een top-drie van opkomende dreigingengenoemd. Dat zijn: Geavanceerde phishingaanvallen (36 procent ), supplychain-aanvallen (28 procent) en ransomware (24 procent). Herkent u deze?
‘Zeker, en dit is nog maar de top. Er kan met gemak een lijst van tien dreigingen samengesteld worden die per sector ook weer varieert. DDoS staat ook bovenaan en in het kader van de komende NAVO-top wordt sabotage in hybride vorm ook niet uitgesloten. Van belang is dreigingen omzetten in risico’s en deze managen binnen de risk-appetite en dat is nu precies waar de ciso voor besteld is.’
Een op de vijf securityprofessionals ziet het somber in. Zij zijn van mening dat ze de organisatie wel kunnen beveiligen tegen hackers, maar dat de hele keten zo lek is als een mandje.
Herkent u die somberheid en zorgen over de beveiligingsrisico’s in de keten?
‘Ook hier weer even, tachtig procent ziet het niet somber in hé. En ‘zo lek als een mandje’ is zeker mooie clickbait, maar weinig professioneel overkomend. Het klopt wel dat het managen van digitale risico’s in de leveranciersketen erg complex en tijdrovend is. De DORA, NIS2, CRA en AI Act gaan hier weer een beetje bij helpen en uiteindelijk zullen we allemaal wel een vorm van certificering moeten gaan hanteren.’
Wat kunnen ciso’s of andere verantwoordelijken voor de security hieraan doen?
‘Sluit aan bij Cyra – jouw route naar digitale weerbaar ondernemen om hier niet het wiel opnieuw uit te hoeven vinden. Eis ISO27001 of SOC2 type 2-assurance en hanteer een vorm van attack surface management om snel afwijkingen te kunnen detecteren. Werk samen met je leveranciers en help ze als ze even in de knel zitten.’
Het is mooi dat Dimitri de statistiek positief uitlegt maar hij moet uitkijken dat hij niet als de struisvogel wordt die tegen de mol zegt dat het prachtig weer is. Want het wegwuiven van de somberheid vergeet dat je niet kunt beheren wat je niet weet. Wat betreft de digitale afhankelijkheid in de logistieke ketens heeft één derde tot de helft van de CISO’s namelijk geen idee van de OT. Wegwuiven van risico’s in de keten met het argument van clickbait komt dus niet erg professioneel over als je besteld bent voor het risicobeheer. Want dreigingen hierin omzetten in risico’s begint met een ouderwetse verkenning. Tenslotte kennen de Nederlandse Spoorwegen nogal wat achterstallig onderhoud waardoor het grootste risico om uitval door ouderdom gaat. Want impact van verstoringen leidt tot artikelen in de krant met de gebruikelijke excuses omdat er geen marktwerking is.