Zet de CISO binnen uw organisaties eens in het zonnetje. Want dat is wel verdiend, na alle problemen met Citrix.
Kent u de CISO in uw organisatie? Zo nee, maak dan gauw een afspraak om kennis te maken. Zo ja, zet hem of haar deze week eens in het zonnetje. Want dat is verdiend, na alle problemen met Citrix. Daarom een ode aan de CISO.
De beveiligingsproblemen met Citrix maken weer eens duidelijk hoe kwetsbaar we zijn én hoe belangrijk informatiebeveiliging is. Het vakgebied van de Chief Information Security Officer, CISO, is relatief nieuw. Het werk dat ze doen is voor de meesten van ons onzichtbaar. De CISO zorgt ervoor dat ambtenaren en organisaties hun werk veilig kunnen doen, met beschikbare en betrouwbare gegevens. De meeste mensen gaan ervan uit dat de IT- infrastructuur die ze gebruiken veilig is, maar dat is geen vanzelfsprekendheid. Dat maken de problemen met Citrix wel duidelijk.
Dagelijks worden er talloze aanvallen uitgevoerd op computernetwerken, ook op die van gemeenten. De Informatiebeveiligingsdienst (IBD) publiceerde onlangs de cijfers over vorig jaar en die liegen er niet om. Ransomware, phishing, illegale cryptomining… ook gemeenten ontkomen niet aan allerlei vormen van digitale criminaliteit. De incidenten halen het nieuws, maar zijn het topje van de ijsberg want gemeentelijke netwerken worden dagelijks duizenden keren bestookt. Het is de taak van de CISO om met zijn of haar organisatie de juiste maatregelen te nemen, zodat het risico op een hack of een lek zo klein mogelijk is. Soms zijn dat drastische maatregelen, zoals het tijdelijk uitzetten van bepaalde systemen als die onveilig zijn. Zoals bij Citrix gebeurde.
Het nemen van de juiste technische maatregelen is natuurlijk belangrijk, maar dat is bij lange na niet voldoende om organisaties digitaal weerbaar te maken. Elke CISO die ik spreek, benadrukt dat de mens de zwakste en daardoor de belangrijkste schakel is. Je kunt je beveiliging technisch gezien nog zo goed op orde hebben: als een medewerker zijn wachtwoord prijsgeeft, dan kunnen criminelen alsnog inbreken.
Het is dan ook niet voor niets dat CISO’s zoveel aandacht besteden aan bewustwording in hun organisaties. Vaak gaat het om dingen die eigenlijk iedereen wel weet, zoals dat het belangrijk is om een sterk wachtwoord te gebruiken, je wachtwoord regelmatig aan te passen en dat je eerst moet nadenken voordat je klikt op een bijlage of weblink in een email. Maar toch: het gaat nog steeds mis. Daar zijn allerlei redenen voor, bijvoorbeeld omdat het makkelijker is om steeds hetzelfde eenvoudige wachtwoord te gebruiken.
Ik wil hier oproepen om wat meer moeite te doen om de acties die de CISO aandraagt, serieus te nemen. De problemen met Citrix hebben aangetoond hoe kwetsbaar we zijn, de cijfers van de IBD laten zien dat digitale dreigingen reëel en talrijk zijn. Iedereen gaat er vanuit dat veilig werken normaal is, maar het is niet normaal. De CISO zorgt voor een eerste line of defense, maar kan het niet alleen. Dataveiligheid is namelijk van ons allemaal. Dus de volgende keer als een CISO vraagt om een veilig wachtwoord te kiezen, doe er dan wat mee.
Hugo Aalders is directeur van VNG Realisatie
CISO hier. Even reageren op dit stukje:
—
“Vaak gaat het om dingen die eigenlijk iedereen wel weet, zoals dat het belangrijk is om een sterk wachtwoord te gebruiken, je wachtwoord regelmatig aan te passen”
—
dit laatste is een erg slecht idee wat moeilijk is uit te roeien. Password expiration policies hebben een cobra-effect veroorzaakt: ze doen meer schade voor beveiligingsrisico’s dan goed. Meer info hier: http://www.sans.org/security
That being said, fijn en nuttig artikel!
Dag Hugo, mede namens alle collega-CISO’s, dank voor je ode…
Zeer eens met je oproep om heel veel aandacht te geven aan bewustwording!
Groet,
Marco van Beek,
CISO gemeente Amsterdam
Beste Hugo, dank voor de positieve aandacht die je geeft aan het complexe vak van de CISO. Laten we niet vergeten dat het allemaal begint met de tone-at-the-top!
Jeroen Schipper
CISO gemeente Den Haag
Hallo Hugo,
Bedankt voor deze ode. Ik ben wel erg benieuwd naar jouw opinie in de lines of defense. Je schetst hierboven dat de CISO een eerste line of defence is, en daarmee ook eigenaar en verantwoordelijk is voor de uitvoering. Bij ons is de CISO-rol juist ingericht als de controlerende/ audit rol, de derde line of defence. Ziet de VNG dat anders? Ik ben erg benieuwd naar de redenen daarvoor…
Al met al, leuk om te lezen dit artikel. Goed dat er nu eindelijk landelijk meer aandacht wordt gegeven aan informatieveiligheid!
Met vriendelijke groet,
Evelien
Dag Hugo, van mij ook bedankt voor jouw pluimen. Bij ons is de CISO functie ook de derde line-of-defence. Proceseigenaren (management) staat zelf aan de lat voor beveiliging van de informatie.