Leiderschap in cyberbeveiliging

Het definiëren van de positie van de hoofdbeveiligingspersoon in een onderneming kan een uitdagende en soms verwarrende taak zijn. Er zijn verschillende functietitels zoals; Chief Security Officer (CSO), Chief Risk Officer, Chief Information Security Officer (CISO), VP, IT-beveiliging, VP of directeur Informatiebeveiliging. Los van titels Of functionele positie, wordt verwacht dat de leidende rol in een beveiligingsorganisatie veel hoeden zal dragen en een groot aantal strategische, operationele en tactische problemen zal oplossen.

De hedendaagse veiligheidsleider moet de vinger aan de pols houden van een overvloed aan veiligheidsinitiatieven. Hieronder vindt u een lijst met beveiligingsinitiatieven die een beveiligingsleider zou beheren of die een parallelle impact binnen een bedrijf zouden hebben:

 

Dataveiligheid	Leveranciersbeheer	Budgettering en prognoses	Beveiliging van netwerksystemen	Noodherstel (DR)
Beveiliging van applicaties	Identiteits- en toegangsbeheer (IAM)	Kwetsbaarheidsbeheer (VM)	Data opslag	Bedrijfscontinuïteit (BC)
Cloudgebaseerde oplossingen – SaaS, IaaS, PaaS	Beleid & controles ontwikkelen met implementatie	Beheer van ondernemingsrisicotolerantie	Communiceren met bestuurders en bestuursleden	Leiderschap op het gebied van human resources
Incidentresponsplanning (IRP)	Meerjarige planning van de beveiligingsarchitectuur	Auditbeheer en -ondersteuning	Beperking van inbreuken	Blijf op de hoogte met toonaangevende beveiligingsoplossingen

Koppel de bovenstaande lijst met beveiligingsinitiatieven aan de onderstaande uitspraken over de omgevingen waarin beveiligingsleiders worden geplaatst, en je beseft al snel dat er een praktische maar beheersbare verandering nodig is. De huidige leiders op het gebied van informatiebeveiliging worden geconfronteerd met:

1. Eigen puntoplossingen van meerdere leveranciers. Dit creëert een financieel inefficiënte beveiligingsarchitectuur met verhoogde kwetsbaarheden.
2. Op technologie afgestemde rapportagestructuur. Beveiligingsleiders rapporteren primair aan de CIO. Beveiligingsinitiatieven die in de eerste plaats worden gezien als technologische oplossingen zorgen voor een verkeerde afstemming op de zakelijke vereisten. Dit verhoogt de kosten voor beveiligingsuitgaven.
3. Het verkrijgen van een effectief veiligheidsbudget is een voortdurende strijd. Als het beveiligingsbudget wordt afgezet tegen een percentage van het IT-budget, ontstaat er een ineffectieve beveiligingshouding voor het bedrijf.
4. Het maakt zwarte hoeden (criminelen) niet uit. Dit betekent dat het de slechte hackers niet uitmaakt of u zich aan een beleid of wet moet houden, en dat het hen ook niet uitmaakt wat uw budget of middelen zijn. De tijd staat aan de kant van de zwarte hoeden: ze hoeven maar één keer geluk te hebben.
5. Historisch gezien zijn beveiligingsteams in verticale silo’s gebouwd. Dit vergroot miscommunicatie en verzwakt het vertrouwen tussen bedrijfsonderdelen.

De nieuwe leider op het gebied van informatiebeveiliging moet worden gezien als een leider-integrator. Deze persoon aanvaardt de verantwoordelijkheden en verantwoordelijkheden van de functie, maar leidt en beheert met een hogere denkwijze. De functie vereist een persoon die kan inzoomen op de technische discussie om tactische problemen op te lossen, terwijl hij comfortabel samenwerkt en communiceert met topmanagers. Beveiligingsleiders moeten vandaag de dag worden gezien als veranderingsagenten, cultuurbouwers, transformatoren en visionairs die toch de vinger aan de pols kunnen houden van de beveiligingshouding van de onderneming. Hun positie ten opzichte van de onderneming moet transparant zijn voor het managementteam. Het vermogen om beveiligingsinformatie te presenteren aan directe ondergeschikten of tijdens een bestuursvergadering op een niveau dat door het publiek wordt begrepen, is van cruciaal belang voor het algehele risicobeheer van het bedrijf. De nieuwe toonaangevende integrator voor operationele beveiliging is proactief met het volgende:

• Stelt de beveiligingswaarde horizontaal voor – reikt andere afdelingen aan, zoals operations, financiën, HR, verkoop en juridische zaken. Is een bruggenbouwer over disciplines, afdelingen en stakeholders heen
• Verbetert de samenwerking door middel van communicatie en bouwt tegelijkertijd vertrouwen op binnen en buiten de beveiligingsorganisatie
• Investeert in beveiligingstechnologieën die bedrijfsdoelstellingen ondersteunen
• Luistert actief en accepteert proactief kritiek van ondergeschikten, leidinggevenden en bestuursleden
• Heeft een bedrijfs- en technologische achtergrond en denkt als een strategische ‘holistische’ denker
• Leert voortdurend en blijft op de hoogte van opkomende beveiligingstrends, terwijl het leren overstijgt naar de medewerkers, organisatie of partners
• Bent een volhardende dienende leider voor anderen en helpt individuen om zelf leiders te worden

De nieuwe leider op het gebied van informatiebeveiliging begrijpt dat beveiliging alles overstijgt technologische. Technologie is de motor van het bedrijfsleven, maar beveiliging is het overkoepelende beschermingsprogramma voor bedrijfsactiviteiten. Van de beveiligingsleiders van morgen wordt verwacht dat ze mensen, processen en geavanceerde technologieën effectief en efficiënt integreren om een consistent relevante beveiligingspositie voor het bedrijf te garanderen. Dit vereist zakelijk inzicht en het vermogen om kritisch te denken om complexe problemen op te lossen. Het is nu tijd voor de beveiligingsleiders van morgen om beveiliging eerst als een zakelijk probleem te benaderen, gevolgd door de ondersteunende vaardigheden, bedrijfsprocessen en technologieën die nodig zijn voor het beveiligen van de onderneming.