Welk van deze 4 CISO-archetypes past bij jou?

Om de kinderschoenen van de CISO-rol beter te begrijpen, lichten we vier archetypes van CISO's toe op basis van onze ervaring en ons onderzoek. We beschrijven onze observaties over de span of control, het mandaat, de organisatorische positie en de belangrijkste uitdagingen van het archetype. We doen dit om ons in te leven in de huidige uitdagingen die we zien waarom bepaalde CISO's succesvoller zijn dan andere en het heeft te maken met het krijgen van de CISO die je verdient / het krijgen van de juiste CISO om de klus te klaren.

(Corporate) informatiebeveiligingsfunctionaris (CISO)

Adviseur van het bedrijf, meestal het bestuur of de CIO. Heeft geen personeel en geen budget. Dwingt zijn strategie af via functionele sturing en heeft beperkte controle of macht in de business. Bouwt achteraf "beveiliging in". Komt meestal voor bij overheden of bedrijven die niet uit de technologie komen en die een beperkte technologische afhankelijkheid hebben, zoals traditionele industrieën.

Chief IT security officer (CISO)

Is gepositioneerd in de IT en soms in het CIO-kantoor. Heeft een klein personeelsbestand en geen budget. Budgetten zijn voornamelijk de jaarlijkse CIO-gerelateerde IT-budgetten die worden berekend via ouderwetse budgetteringsmethoden van percentages IT, voornamelijk HR-kosten. Er is zeer weinig interactie met de business. Ze werken in de IT-silo aan het implementeren van IT-beveiligingscontroles. Er is een beperkte focus op het rendement van beveiliging (bijv. ROSI-modellering) en beperkte mogelijkheden om te verkopen aan de raad van bestuur of leidinggevenden in het bedrijf die de "echte budgetten" hebben. Meestal worden ze aangetroffen in gedecentraliseerde bedrijven waar IT (beveiliging) is ondergebracht in een centrale organisatie. Deze CISO heeft een hiërarchisch conflict met zijn baas die uiteindelijk beslisser is en kan overrulen. Deze CISO zit meer in de knel wanneer zijn bondgenoot, de DPO, ook in een "staffunctie" zit bij de centrale organisatie.

Chief Information Security Officer (CISO)

De nieuwe generatie CISO's in techbedrijven (Uber, Google, ZOOM, Booking.com) die "de business zijn". Heeft een directe rapportagelijn naar de raad van bestuur en/of raad van commissarissen. Ze zijn voortdurend in gesprek met belangrijke belanghebbenden, zoals het tweedelijns risicomanagement, interne en externe auditors en regelgevers. Het bestuur begrijpt dat het woord "chief" mandaat, budget en personeel met zich meebrengt om de klus te klaren. De chief kan daadwerkelijk de volledige verantwoordelijkheid nemen. Deze CISO heeft directe lijnen naar de IT-beveiligingsafdeling en heeft "hire, admire and fire power". Ze zijn eigenaar van hun vak en organiseren hun beveiliging via duidelijke Target Operating Models met interne en externe SLA's om de volledige beveiligingsprestaties van de hele uitgebreide onderneming (cloud, IoT, OT) te meten en te bewaken. IT en business zijn versmolten en bij elk nieuw bedrijfsinitiatief zit de CISO (of teamlid) aan tafel. De plaatsvervangende CISO organiseert de interne beveiligingsorganisatie als een "COO" en zorgt ervoor dat de administratie in orde is en dat talent in teams wordt gekoesterd, opgeleid en voortdurend uitgedaagd. De enterprise security architect in het team zorgt ervoor dat de complete omgeving wordt ontworpen en geïmplementeerd met de nieuwste uitgebreide technologieën en methoden. We verwijzen soms naar de CISO van niveau 4[1].

We zien de laatste twee CISO's steeds vaker opduiken en de facto worden voor goed voorbereide bedrijven. In steeds meer gevallen is dit een vrouw zonder IT-achtergrond, maar met sterke afstemmings- en leiderschapsvaardigheden. Maar we begrijpen ook dat elke organisatie een erfenis, organisatiestructuren en attitudes heeft die niet van de ene op de andere dag kunnen worden veranderd.

Richtlijnen om de CISO te krijgen die je verdient zijn nog beperkt beschikbaar, vooral voor de laatste twee CISO-archetypes die we noemen. Het European Competence Framework (eCF) definieert de rol van de CISO als strategisch en richt zich voornamelijk op de harde capaciteiten, maar nooit op zachtere organisatorische aspecten zoals we in deze blog bespreken.

Het vak van digitale beveiliging heeft een lange geschiedenis en in het huidige tijdperk wordt het nog belangrijker, met meer mensen in organisaties die zich bezighouden met digitale beveiliging. Vaak zien we echter dat deze mensen een meer operationele en tactische geschiedenis en aanpak hebben, zonder daadwerkelijke hands-on bestuurs- en leiderschapservaring.

Als je digitale beveiliging tot een succes wilt maken, heb je dus een leider nodig die je door de verandering leidt en het einddoel bereikt. Naast hoe deze leider moet handelen op basis van de behoeften van de werknemers, moet de leider ook rekening houden met de verandering die een bedrijf moet doormaken. Als je bijvoorbeeld digitale veiligheid op de agenda van de raad van bestuur wilt krijgen, heb je misschien iemand nodig met goede politieke en marketingvaardigheden. Als je wilt dat mensen een bepaalde richting opgaan, heb je misschien een visionair nodig. Als iedereen aan boord is en je moet gewoon dingen gedaan krijgen, heb je misschien een meer op controle gerichte leider nodig.

Dus wat betekent dit? Dit betekent dat je leiders op het gebied van digitale beveiliging niet alleen moet kiezen op basis van wat je medewerkers nodig hebben, maar ook op basis van de fase waarin digitale beveiliging zich bevindt en de reis die het bedrijf gaat maken (bijv. fusies & overnames, wereldwijde groei, hyperschaling). Ook de cultuur (zie ook figuur) van de organisatie heeft een grote invloed op het succes van de CISO. Het kan betekenen dat de persoon die de visie heeft gecreëerd en de digitale beveiliging aan het rollen heeft gebracht, niet dezelfde is als degene die er daadwerkelijk een succes van heeft gemaakt. Betekent dit dat de eerste een slechtere leider is dan de tweede? Wij denken van niet; het gaat erom wie de juiste persoon is voor het juiste moment. En als je selectie niet grondig genoeg is, krijg je de CISO die je verdient.

Om je te helpen de CISO te krijgen die jij verdient, stellen we voor het wereldwijd erkende CISO-zelfassessment van Russel Reynolds te gebruiken, een wereldwijd HR-bedrijf dat ook is opgenomen in ons boek[2]. Kijk naar aspecten zoals Leiderschap, Verandering nodig, Stakeholder Management en Strategische Capaciteiten, die we onderwijzen aan de Executive Master in IT Risk & Cyber Security Management van Antwerp Management School. Welk archetype CISO je nodig hebt, hangt echt af van de organisatie waarin de CISO moet zitten en de uitdagingen die er liggen.

[1] Het model dat wordt uitgelegd in ons boek laat vier niveaus van CISO zien. Niveau 1 CISO's zijn meestal hoofden van IT-beveiliging die zich voornamelijk richten op bestuur en controles. Niveau 4 CISO's zijn zeer nauw betrokken bij hun bedrijf; op de achtergrond betrokken bij het aannemen en ontslaan van senior managers, fusies en overnames, desinvesteringen, toeleveringsketen, IP-bescherming en alles wat gevoelig is voor aandeelhouders. Ze hebben ook regelmatig sessies met de voorzitter van de raad van bestuur en trainen non-executives en hun gezinnen.

(2) Bobbert, Y. & Butterhof, M. (2020). Toonaangevend in digitale beveiliging: Twaalf manieren om de stille vijand te bestrijden (Bobbert & Butterhof).