De onmogelijke rol van de moderne CISO mogelijk maken

Dit is zo ongeveer wat er tegenwoordig op het bordje van een CISO ligt: de ene dag ben je verantwoordelijk voor het anticiperen op complexe tijdrovende cyber-dreigingen, de andere dag leg je technische risico’s uit aan het bestuur. Tegelijkertijd houd je toezicht op steeds meer wet- en regelgeving, inventariseer je third party risico’s in de hele keten, begeleid je het securityteam in hun ontwikkeling en ondersteun je digitale transformatieprojecten. En o ja, vergeet ook niet dat je vaak midden in crisissituaties als eerste wordt verwacht razendsnel beslissingen te nemen. Bij voorkeur de juiste, terwijl je er lang niet altijd het bijpassende budget voor gekregen hebt.

Het is bijna een persiflage op één functie: een duizendpoot die in theorie alles moet kunnen, maar in de praktijk op geen enkel gebied volledig kan excelleren. Toch worden dergelijke profielen steeds vaker gevraagd. Deze tekst stond letterlijk bij een CISO-vacature van een gemeente: “In deze vacature wordt van de CISO verwacht dat hij of zij niet alleen informatiebeveiligingsbeleid ontwikkelt en bewaakt, maar ook strategisch advies geeft aan bestuur en directie, toezicht houdt op naleving van maatregelen, incidentmanagement coördineert, samenwerkt met diverse interne securityrollen én een cultuur van informatiebeveiliging stimuleert.” Blijkbaar blijft er weinig tijd over om nog te slapen of op een gezonde manier na te denken.

Deze combinatie van verantwoordelijkheden en vaak beperkte middelen, zoals te weinig budget, heeft duidelijke gevolgen. CISO’s lopen een hoog risico op te hoge werkdruk en burn-out. Stress, slaaptekort en mentale uitputting komen helaas regelmatig voor. Bovendien valt uit een recent artikel van Computable* op te maken dat ook het salaris van de CISO niet in verhouding staat tot de werkdruk.

Voor de organisatie zelf zijn de gevolgen ook merkbaar. Een CISO die constant onder druk staat, kan slechtere beslissingen nemen, kennis gaat verloren bij verloop, en strategische continuïteit staat onder druk. Hierdoor kan op toenemende cyberdreigingen te laat worden geanticipeerd.

De centrale vraag is: kun je dit eigenlijk van één persoon verwachten? Het antwoord lijkt helder: nee. Dit fenomeen komt overigens ook voor bij andere functies: organisaties hebben vaak de neiging een functieprofiel te vragen dat feitelijk niet invulbaar is. De oplossing ligt in dit geval niet in een nóg betere, stressbestendige CISO, maar in het herverdelen van verantwoordelijkheden.

Gelukkig zijn er aanvullende functies die een deel van de CISO-taken kunnen overnemen. Enkele voorbeelden, te beginnen met een assistent: Een ISO kan een wat minder ervaren persoon zijn die onder regie van de CISO vooral uitvoerende opeartionele meters maakt, zodat de CISO zich op het grote plaatje kan richten. Een Technical Information Security Officer (TISO) kan de technische beveiliging, architectuur en operationele monitoring op zich nemen, terwijl een Compliance Officer of Data Protection Officer (DPO) zich volledig richt op regelgeving, audits en risicobeoordeling. Security Architects ontwerpen veilige systemen en zorgen dat implementaties voldoen aan het beleid. Door dergelijke functies strategisch in te zetten, wordt de rol van de CISO weer menselijk, behapbaar en haalbaar, en kan hij of zij zich richten op strategische keuzes, visie en organisatiebrede cybersecurity-strategie.

Je las zojuist over herverdeling en toewijzing van taken. Maar wat doe je als je intern als CISO niet over deze mensen beschikt? OneXillium kan fungeren als een soort EHBO voor CISO’s: we nemen bepaalde taken over maar kunnen ook een klankbord bieden om ervaringen met andere CISO’s uit te wisselen. Allemaal met als doel dat jij je als CISO volledig kunt richten op strategische keuzes, doordat ‘samen’ betekent dat de operationele druk verlicht wordt. Daar word je blij van.