De verantwoordelijkheid voor cybersecurity
Steeds meer organisaties hebben een CISO in dienst die helpt met het op orde brengen van de cybersecurity. Een belangrijk onderdeel van goede cybersecurity is het inrichten van de verantwoordelijkheid daarvoor. De directie is, zoals bij veel thema's binnen een organisatie, eindverantwoordelijke, maar de verantwoordelijkheid voor de dagelijkse zorg voor cybersecurity ligt in de lijn. Althans, daar hoort het te liggen wat mij betreft. Zo af en toe spreek ik iemand van een organisatie waarbij dat toch iets anders is ingericht. Het lijnmanagement heeft de verantwoordelijkheid voor de bedrijfsinformatie (in de praktijk echter vaak alleen maar op papier), maar als het gaat om de verantwoordelijkheid voor de beveiliging van die bedrijfsinformatie, dan wordt er toch vaak wel naar de CISO gekeken. Wat verder navragen over hoe dat dan in de praktijk werkt eindigt vaak met een opmerking in de trant van "maar zo hebben wij dat nu eenmaal georganiseerd".
Je zou kunnen denken: "Ach, als het maar geregeld is, dat is beter dan niks". Maar wat betekent dat nou in de praktijk, dat de CISO verantwoordelijk is voor de beveiliging van informatie die aan anderen toebehoord? Om dat goed te kunnen begrijpen, gaan we eens kijken naar waar de CISO en een lijnmanager zich mee bezig houden.
Werkveld
Rechts zien we een schaalverdeling over wat voor een organisatie kan gebeuren. Een organisatie kan succes hebben. Dat kunnen kleine succesjes zijn, zoals het aannemen van een nieuwe medewerker met veel potentie, of een groot succes, zoals het binnenhalen van die ene belangrijke, zeer grote opdracht. Het kan een organisatie ook tegenzitten. Een kleine tegenslag, zoals het vertrek van een waardevolle collega of een grote tegenslag, zoals een serieus cyberincident.
Lijnmanagers houden zich doorgaans vooral bezig met het groene succes-deel, met het behalen van organisatiedoelen. Wat zij doen heeft betrekking op het hier en nu of met iets dat qua planning vaak in de nabije toekomst ligt. Er is in ieder geval duidelijkheid over wanneer iets gaat gebeuren of wanneer duidelijk wordt of het gaat gebeuren. In het slechtste geval zakt de de organisatie iets terug in het groene deel van de schaal, omdat bijvoorbeeld een interessante kandidaat toch voor een andere organisatie kiest of die belangrijke opdracht is toch niet binnengehaald. In het beste geval schuift de organisatie verder door in het groen.
Het werkveld van de CISO is anders. De CISO houdt zich bezig met het voorkomen van ellende. Om specifiek te zijn, ellende omtrent informatie en systemen (IT/OT). De CISO draagt bij aan dat organisatie niet in het rode deel van de schaal terecht komt. En komt een organisatie daar wel in terecht, dan helpt de CISO om daar zo snel mogelijk weer uit te komen. In het meest gunstige geval, blijft de organisatie op de nullijn steken. Het rode deel van de schaal is ook nog eens onzeker. Van situaties voor dat deel van de schaal is niet duidelijk of ze wel optreden en zo ja, wanneer. Ook is niet duidelijk wat zo'n situatie dan inhoudt. Het zijn allemaal mogelijke toekomstscenario's, waarvan het prima mogelijk is dat ze nooit werkelijkheid worden.
De praktijk
Terug naar wat dat dus in de praktijk betekent. Stel, de organisatie komt in een situatie terecht waarbij er iets gedaan moet worden om een bepaald succes te behalen. Echter, die handeling levert ook een risico op wat betreft de veiligheid van bedrijfsinformatie. Bijvoorbeeld, een nieuwe website moet online geplaatst worden om een goede beurt te kunnen maken bij potentiële klanten, maar er is nog geen penetratietest op uitgevoerd. Of een grote hoeveelheid belangrijke informatie wordt op een DVD gebrand om naar een ketenpartner te sturen, maar er is niet nagedacht over versleuteling van die informatie. De betreffende lijnmanager geeft akkoord, want die denkt aan het te behalen succes. Echter, de CISO zegt dat het vanwege de veiligheid van de betreffende bedrijfsinformatie niet verstandig is en keurt het af.
Met die schaal in het achterhoofd, de lijnmanager neemt een beslissing voor iets dat met zekerheid bijdraagt aan een helder succes. De CISO keurt het af, vanwege onzekere en inhoudelijk onduidelijke negatieve gevolgen. Raad eens wie er gaat winnen. Tegelijkertijd neemt de lijnmanager ook een beslissing over de verantwoordelijkheid van de CISO, maar is diegene niet aansprakelijk als het dan toch mis gaat. Want cybersecurity, daar gaat de CISO over. En maar afvragen waarom veel CISO's na twee jaar de handdoek in de ring gooien en vertrekken.
Hoe dan wel?
De CISO verantwoordelijk maken voor cybersecurity levert voor de CISO dus een oneerlijke strijd op. Een CISO heeft namelijk nooit een succes te vieren. Hoe toon je namelijk aan dat iets (ellende) dat niet gebeurd is, aan jou te danken is? En met deze verborgen resultaten moet de CISO dan opboksen tegen argumenten die in lijn zijn met de organisatiedoelen? Frustraties gegarandeerd.
De enige juiste aanpak is door het lijnmanagement verantwoordelijk te maken voor de beveiliging van de informatie waar zij de zorg voor dragen. "Maar een lijnmanager heeft daar toch onvoldoende cybersecuritykennis voor?" Vast, maar een gemiddelde lijnmanager is ook geen financieel expert en toch dragen ze de verantwoordelijkheid voor afdelingsbudgetten. Een gemiddeld lijnmanager is ook geen medisch of psychologisch expert en toch dragen ze de verantwoordelijkheid voor het welzijn van hun medewerkers. Ergens verantwoordelijk voor zijn betekent niet per se dat je inhoudelijk expert voor dat onderwerp moet zijn, maar dat je de boel zodanig organiseert dat inhoudelijk experts jou van de nodige adviezen voorzien, zodat verstandige keuzes gemaakt kunnen worden. Goede cybersecurity vindt namelijk plaats op basis van goede afwegingen en niet op basis van een strijd over eigen belangen tussen twee collega's.