The C stands for Change

In de hedendaagse (bedrijfs)wereld, waar cybersecurity een steeds prominentere rol inneemt, is de rol van de Chief Information Security Officer (CISO) fundamenteel veranderd. Traditioneel gezien was de CISO een functionaris, verantwoordelijk voor het beschermen van de ITinfrastructuur van een organisatie tegen bedreigingen. De Cyberbaas - die rond 1994 het levenslicht zag toen Citibank, Steve Katz aanstelde als eerste CISO ter wereld - zat eerst verstopt in de IT-operatie en had vaak een technische achtergrond. Tegenwoordig wordt er echter van CISO’s verwacht dat zij zich niet enkel meer met de techniek bemoeien, maar zich met name als een ‘Change Agent’ opstellen. Hatsjikidee!

Wat houdt dat dan precies in? Een Change Agent is iemand die een organisatie, een team of een project leidt in het aannemen en inbedden van nieuwe processen, technologieën of gedragingen. In het geval van CISO’s betekent dit dat zij een organisatiebrede cultuur van cybersecurity moeten creëren en bevorderen. Dit is een enorme verschuiving van het beveiligen van netwerken en systemen naar het beïnvloeden van de houding en het gedrag van mensen in de operatie en in de boardroom.

Als Change Agents nemen CISO’s nu het voortouw om de perceptie van cybersecurity te veranderen van een belemmering naar een bedrijfsfunctie die waarde toevoegt. Ze zijn degenen die de strategie en processen voor cybersecurity bepalen, maar ze zijn ook verantwoordelijk voor het begeleiden van individuen en teams bij het begrijpen en toepassen van deze strategieën in hun dagelijks werk. Dit vereist sterke communicatieve vaardigheden, empathie en de mogelijkheid om mensen te inspireren en motiveren. Van Officers naar Enablers! Bovendien moeten CISO’s als Change Agents een brug slaan tussen technische en niettechnische medewerkers binnen hun organisatie. Ze moeten in staat zijn om complexe technische concepten op een toegankelijke en begrijpelijke manier uit te leggen, en het belang van cybersecurity voor iedereen binnen de organisatie duidelijk te maken. Maar we zijn er nog niet, dit cyberschaap krijgt minstens vijf poten!

Want naast bovenstaande vraagt deze nieuwe rol van CISO’s om een proactieve benadering. In plaats van reactief te handelen na een beveiligingsincident, moeten zij anticiperen op mogelijke dreigingen en voorbereidingen treffen om deze te voorkomen. Ze moeten zich ook richten op continue verbetering, door het aanpassen en verbeteren van beveiligingsmaatregelen naar gelang de ontwikkelingen in de bedrijfscontext en het bedreigingslandschap. Ze moeten jaren vooruitkijken, scenario’s kunnen voorleggen en een koers naar weerbaarheid kunnen uitstippelen. Zeker geen Fabeltjeskrant verhaal!

Deze proactieve rol van de CISO komt namelijk ook goed naar voren in de 'shift left'-beweging binnen cybersecurity. 'Shift left' betekent in essentie het eerder in het ontwikkelproces integreren van veiligheidsoverwegingen, in plaats van ze als een nacontrole of correctieve maatregel te behandelen. Voor de CISO houdt dit in dat ze een faciliterende rol spelen in het mogelijk maken van 'cyber by design' voor de business en haar DevOps-teams. Cybersecurity als vertrekpunt noemen wij het.

En zo, lieve kijkbuiskinderen, transformeerde de CISO van een technische poortwachter naar een visionaire Change-agent die samenwerkt aan de paradigmaverschuiving. Een leider die zowel de technische diepgang als de interpersoonlijke vaardigheden bezit om een organisatie de weg te wijzen in een steeds veranderend cyberlandschap. En deze transformatie was niet alleen noodzakelijk, maar vooral ook onontkoombaar.

Dimitri van Zantvliet
Directeur Cybersecurity bij NS en columnist van iB-Magazine.

Deze column verscheen in IB5-2023.