Ridder, slijp je veerkrachtzwaard!

De rol van Chief Information Security Officers (CISO's) – vaak vergeleken met heldhaftige digitale ridders – is significant veranderd. Geconfronteerd met een golf van veiligheidsinbreuken bij zowel de grote namen als startups, bevinden deze CISO's zich in een complexe situatie. De vraag rijst of de digitale kastelen zijn gevallen of dat de beschermers van ons informatiekoninkrijk niet voldoende geëvolueerd zijn. Ik begin 2024 daarom met een confronterende bespiegeling die wellicht de goede voornemens kan helpen aanscherpen.

De CISO's staan allemaal voor minstens drie grote uitdagingen:

• Asymmetrische digitale hybride oorlogsvoering: de tegenstanders in de huidige digitale oorlogsvoering zijn vaak krachtiger dan bedrijven, variërend van insiders, cybermaffia tot schurkenstaten. Dit plaatst CISO's in een benarde positie waarbij ze zich onderbemand en onderbewapend moeten verdedigen;
• Exponentiële digitale transities: de digitale wereld evolueert razendsnel en onvoorspelbaar, wat resulteert in verouderende beveiligingskaders en legacy infrastructuur;
• Non-lineaire cyberwetgeving: bedrijven worden inmiddels overspoeld met wet- en regelgeving zoals CSA, NIS2, CER, CRA, etc. wat het lastig maakt voor CISO's om zich te concentreren op hun primaire taak van risico gestuurde weerbaarheid.

Veel CISO's hebben moeite om uit hun geïsoleerde silo's te komen en creëren vaak een lappendeken van beveiligingsoplossingen die in sommige gebieden effectief zijn, maar in andere gevaarlijk tekortschieten. Ze missen soms de essentiële zaken zoals menselijke fouten, interne bedreigingen en basis cybersecurityhygiëne (jawel, daar heb je hem weer).

AI wordt gezien als een veelbelovende ontwikkeling in cybersecurity, maar het is ook een wapen dat door cybercriminelen kan worden gebruikt. De uitdaging voor CISO's is om AI te integreren in hun verdedigingsstrategieën, terwijl ze zich bewust zijn van het potentieel voor misbruik door tegenstanders.
De Zero Trust-benadering, gebaseerd op ‘nooit vertrouwen, altijd verifiëren’, daagt traditionele beveiligingsconcepten uit. Deze aanpak vereist constante verificatie van zowel interne als externe gebruikers, en benadrukt de noodzaak van aanhoudende waakzaamheid.

Laten we het beestje bij de naam noemen: In plaats van ‘Chief Information Security Officer’, is ‘Chief INsecurity Officer’ misschien een passendere benaming. Dit is niet slechts een woordgrapje, maar een realistische weerspiegeling van de huidige situatie. Geen enkel bedrijf kan vandaag de dag beweren 100% veilig te zijn en dat moet men goed beseffen. De doelstellingen zijn veranderd. Het gaat niet langer alleen om verdediging; het gaat om veerkracht. Veerkracht (het vermogen om te anticiperen, weerstand te bieden, te herstellen van en zich aan te passen aan ongunstige omstandigheden) is wat het moderne digitale landschap vereist. Cyberdreigingen zijn een onvermijdelijkheid geworden, geen mogelijkheid.

CISO's, of misschien is Chief Resilience Officers (CRO's) nu wel meer toepasselijk, moeten hun focus verschuiven van enkel ‘beschermen’ naar ‘aanpassen en herstellen’. Het is mede om die reden dat we met meerdere CISO’s de www.cisocommunity.nl zijn gestart om hier verder invulling aan te geven en hier met elkaar best practices over uit te wisselen. Schrijf je in en doe mee!

Want vanaf 2024 ligt de verantwoordelijkheid bij jullie, dappere ridders van de ronde cybertafel: het is tijd om jullie 'veerkrachtzwaarden' te slijpen en je moves te oefenen, zodat je niet slechts een voetnoot wordt in de legendes van digitale verdediging.
 

Dimitri van Zantvliet
Directeur Cybersecurity bij NS en columnist van iB-Magazine.

Deze column verscheen in IB1-2024.