Een andere blik

Als analyticus ben ik altijd op zoek naar het volgende model of de volgende standaard die mij helpt mijn werk beter te structureren. Het directe werk van een CISO is heel goed gekaderd, als het goed is: dat het draait om het ISMS en het managen van de beoordelingen en verbeteringen. En dat managen verbreedt je werkveld enorm. Het vergt dat je connecties hebt met en afspraken maakt met vrijwel alle andere afdelingen in het bedrijf en ook buiten het bedrijf.

Het standaard raamwerk dat je als CISO omarmt, helpt je hierbij. De ISO 27001/27002 en afgeleiden hiervan (BIO, NEN 7510) geven je een praktische kijk op best practice maatregelen, het NIST Cybersecurity Framework geeft je een blik vanuit de operationele functies, de CIS Controls vanuit technische thema’s. Al die raamwerken hebben een andere zienswijze, en je moet dan nog steeds maatregelen op afdelingen afstemmen. Maatregelen kunnen in verschillende vormen en binnen meerdere afdelingen uitgevoerd worden. Hoe weet je dan wanneer je alles in beeld hebt?

Als consultant spreek ik regelmatig CISO’s en andere professionals die mij ook laten zien hoe zij een overzicht houden over hun specifieke werkveld. In de afgelopen jaren ben ik al een paar keer gewezen op mindmap die flink de ronde doet, onder andere op LinkedIn. Het helpt hen maatregelen in te delen naar stakeholder(s), intern en extern.

Wat is een mindmap? Een mindmap is een notatietechniek geschikt voor het overzichtelijk noteren van gedachten of concepten. Hiermee faciliteer je:
• het brengen van een structuur in ongestructureerde informatie;
• creatief denken;
• het oplossen van problemen;
• het communiceren van verbanden.
In een mindmap staat één onderwerp centraal en via uitwaaierende takken wordt het onderwerp verbonden met deelonderwerpen, die op hun beurt weer verbonden worden met daaraan ondergeschikte onderwerpen. Er zijn tools om mindmaps digitaal te maken, zoals iThoughts, Xmind en Freeplane. Deze laatste is open source.

Er is een mindmap van security domeinen opgesteld door Henri Jiang, zelf een Amerikaanse CISO, die precies voldoet aan de structuurbehoefte van een CISO. Elke tak van de mindmap is een wezenlijk ander deel in de wereld van security, alle onderdelen in een domein vind je doorgaans in dezelfde afdeling of in verwante afdelingen. Dit hangt natuurlijk mede af van de aard en grootte van de organisatie. Hij heeft dit vrij snel ontwikkeld van versie 1 tot aan 3. De huidige versie 3.1 lijkt stabiel die is in twee jaar niet meer aangepast.

Domeinen waar een CISO direct mee te maken heeft staan erin:
• governance;
• Enterprise Risk Management (het ISMS en aanverwante zaken).

De typische domeinen die goed ingevuld moeten zijn, maar niet onder een tactische CISO vallen zijn:
• security operations;
• security engineering (hij noemt het security architecture);
• application security.

Andere domeinen zijn weer zaken die met een externe leverancier geregeld of op een andere manier in de organisatie belegd moeten worden. Nu de nieuwe ISO 27001 norm een stuk minder vrijblijvend is over de invulling van maatregelen, kan zo’n mindmap alleen maar helpen om als CISO niet te verdrinken in verplichtingen, maar je wel in de gelegenheid stelt een overzicht te houden. Ik heb het toegevoegd aan mijn standaard toolbox.

Lex Borger
Security consultant bij Tesorion en oud-hoofdredacteur van iB-Magazine.
Lex is bereikbaar via lex.borger@tesorion.nl

Deze column verscheen in IB6-2023.