Toekomstige functies in informatiebeveiliging

We onderscheiden de volgende belangrijke trends die invloed hebben op de capaciteiten die van de beroepsbevolking worden gevraagd:

• Geavanceerdheid en dynamiek van cyberaanvallen
• Machinaal leren en kunstmatige intelligentie
• Virtuele identiteiten
• Gegevens
• Cloud
• Gedistribueerde hybride omgevingen
• Nieuwe manieren van werken (DevOps, Agile, Scrum)
• Continue softwareontwikkeling
• Oorlog tegen talent
• Regelgeving en zekerheid (geïntegreerde rapportage)

Deze trends vragen om andere capaciteiten en dus om rollen in het Cyberdomein, zoals Cyber Attack Agent, Cyber Calamity Forecaster, Machine Risk Officer en Virtual Identity Defender, Data trash engineer, Cloud orchestration architect, Security vaccinator, Cyber talent magnet, AI auditor. Om je een idee te geven van wat deze rollen inhouden, geven we hieronder een korte uitleg per rol. Aan het eind bundelen we dit in onze visie op de rol van de CISO. Ons doel is niet om uitputtend te zijn, maar om u enkele van de belangrijkste trends te geven op basis van onze ervaring en externe onderzoeksrapporten en artikelen voor HR-bedrijven zoals Egon Zehnder en Korn Ferry. ⁽²⁾

Door het snel veranderende bedreigingslandschap en de veranderende spelers wordt het moeilijk om deze kennis bij te houden en te vertalen naar acties. De Cyber Calamity Forecaster zal over het hoofd geziene mogelijkheden onthullen en niet-onderzochte aannames over de cyberwereld blootleggen. De ideale kandidaat biedt analytische, adviserende en technische expertise en analyse met betrekking tot wereldwijde cyberactiviteiten door de huidige en voorspelde cyberomgevingen en geopolitieke ontwikkelingen te beoordelen om cyberproducten, waarschuwingsbulletins en voorspellingen uit te brengen. Maar deze Calamiteitenvoorspeller vereist drie belangrijke nieuwe capaciteiten die nu moeten worden gecombineerd in één rol.

In de huidige netwerkbeveiliging wordt waakzaamheid met betrekking tot nieuwe bedreigingen en aanvalsvectoren steeds belangrijker. Snelle detectie, risicobeoordeling en preventieve of verzachtende maatregelen worden steeds belangrijker.

Om dit probleem het hoofd te bieden, vertrouwen agenten van cyberbedreigingen of SOC's op een enorme hoeveelheid rapporten over nieuw gedetecteerde (of vermoede) bedreigingsbronnen die worden gerapporteerd in openbare bronnen: nieuwsfeeds, mailinglijsten, twitterstreams, forums, enz. Er wordt ook een aanzienlijke hoeveelheid niet-publieke bronnen aangeboden: bedreigingsbulletins van leveranciers tegen betaling, aankondigingen in gesloten kanalen. Dit vormt een groeiende uitdaging, die een specifiek voorbeeld is van het 'firehose'-gegevensprobleem. Er zijn veel gegevens beschikbaar. Op voorhand is de waarheidsgetrouwheid ervan nooit boven alle twijfel verheven. Bovendien zijn ze niet gegarandeerd zo gestructureerd dat (semi)geautomatiseerde verwerking eenvoudig mogelijk is. En met veel gegevensbronnen die mogelijk licht werpen (mogelijk vanuit verschillende perspectieven) op zaken die een onderliggende samenhang delen, is het ontdekken van de relatie tussen rapporten uit verschillende bronnen een belangrijke onderneming. Opvallend is ook dat de gegevensbronnen talrijk zijn, met een breed scala aan potentiële brontalen. Velen zijn in het Engels (van wisselende kwaliteit), maar lang niet allemaal; en men mag nooit uitsluiten dat een zeer relevant en urgent rapport eerst in het Russisch, Koreaans, Chinees, Duits, Frans (enz.) wordt gepubliceerd.

Gezien de omvang ('firehose') van de gegevensstroom ontstaat het schaalbaarheidsprobleem; er is een hoge mate van automatisering nodig. Met dit probleemveld in gedachten definiëren we drie gerelateerde mogelijkheden:

1. Kwaliteit van gegevensbronnen beoordele
2. Intelligente correlatie, relevantie en risicobepaling
3. Automatisering van Data Source Handling Process Flow en deze doorsturen naar doelgroepen in een presenteerbaar en bruikbaar formaat.

Op basis van de verzamelde bedreigingsgegevens kan de Calamiteitenvoorspeller trendanalyses uitvoeren op sectoren (financiën, detailhandel, productie), landen, platforms (Microsoft, Oracle enz.), omgevingen (industriële installaties) enz. Deze rol wordt steeds belangrijker omdat de meerderheid van de mensen door het bos de bomen niet meer ziet.

De rol van Machine Risk Officer zal essentieel zijn bij het ontwikkelen van nieuwe vertrouwensmechanismen en het bedenken van nieuwe risico-batenbenaderingen voor het werken met intelligente machines. De medewerker in deze functie zal de rollen en verantwoordelijkheden tussen mens en machine definiëren en de regels opstellen voor hoe menselijke tegenhangers moeten omgaan met door machines veroorzaakte overtredingen.

De rol van Cyberdiplomaat zal essentieel zijn voor het managen van stakeholders en toezichthouders en het vinden van samenwerking en bondgenoten met andere publieke en private bedrijven en de overheid. Oorlogen worden gewonnen door de juiste bondgenoten en genoeg bondgenoten te hebben. Ten strijde trekken zonder bondgenoten is een garantie voor mislukking, zoals de geschiedenis leert van onder andere Napoleon en Hitler.

De medewerker in deze functie zal sterke allianties vormen en de buitenwereld beïnvloeden over de mening van de entiteit zelf.

Als Security Pusher wordt er van je verwacht dat je elke situatie analyseert waarin klanten in contact komen met het merk of bedrijf van de klant, de emoties die daarbij komen kijken in kaart brengt en vervolgens een abonnementsstrategie voorstelt om hieraan te voldoen. De baan vereist het onderzoeken, volgen, vormgeven en voorstellen van beslissingen om ervoor te zorgen dat cyberrisico's worden aangepakt in lijn met de risicobereidheid en in afstemming met klantgedrag. Dit vereist veelvuldige interactie met klanten, belanghebbenden en partijen die betrokken zijn bij het leveren van diensten in de waardeketen om effectief te kunnen werken. Deze rol komt naar voren bij managed security service providers en integrators die bepaalde aansprakelijkheden hebben ten opzichte van hun klanten als beveiligingsadviezen niet worden opgevolgd door bedrijven.

Als Cyber Attack Agent/SEAL maak je deel uit van een nieuwe Special Operations divisie binnen het SOC, belast met het ontwikkelen, uitvoeren en leiden van het cyber afschrikkingsprogramma. Als belangrijk lid van dit team help je bij het ontwikkelen en in oorlogstijd uitvoeren van strategische cyberaanvallen op de infrastructuur van tegenstanders en op systemen in de publieke en private sector. Om voor deze cruciale rol in aanmerking te komen, moet je een uitstekende staat van dienst hebben op het gebied van cyberhacking, "grey-hat"-gerichte softwareontwikkeling of ervaring met distributed denial of service-aanvallen. Agenten/seals voor cyberaanvallen moeten opereren als een effectief en zeer wendbaar team en nauw samenwerken met elkaar en met de cyberbeveiligingsteams van het NCSC.

In de functie van Data Trash Engineer pas je analytische nauwkeurigheid en statistische methoden toe op data-afval om besluitvorming, productontwikkeling en strategische initiatieven te sturen. Dit doe je door het creëren van een "data trash nutrition labeling" systeem dat de kwaliteit van datasets beoordeelt en de "data-growth-data-trash" ratio beheert. Deze rol is nodig om te voorkomen dat organisaties te veel gegevens verzamelen en om te voldoen aan de wettelijke vereisten van de GDPR, zoals schema's voor het bewaren van gegevens.

De Cyber Filosoof houdt de discussie over de balans tussen mensheid en machines levend om te voorkomen dat "De Dag des Oordeels" plaatsvindt.

De AI-auditor zal een onafhankelijk oordeel vormen over de integriteit van de AI. Deze auditor zal deel uitmaken van een overheidsinstelling die ongevraagd en zonder financiële voordelen audits uitvoert. Zoals we in de toekomst zullen leren, kan de auditor niet langer deel uitmaken van een commerciële organisatie.

De Security User Experience (SUX) Designer is een expert in het inbouwen van beveiliging in producten en diensten en ze geen gebruikersonvriendelijke ervaring te geven. Dit wordt veroorzaakt door de manier waarop beveiliging is ontworpen als integraal onderdeel van het product of de dienst, wat resulteert in een perfecte balans tussen gebruiksgemak en een veiligere ervaring. In een wereld waarin het onbekend wordt wie te vertrouwen is, wordt vertrouwen essentieel voor de bedrijfsstrategie.

Voor deze toekomstige functies heb je goed opgeleid personeel nodig. Veel leer- en certificeringsprogramma's die al zijn ontwikkeld, zijn voor veel HR-professionals of recruiters al erg ingewikkeld. Zie onderstaande figuur:

Figuur 1: Overzicht van alle beveiligingsgerelateerde certificeringen⁽³⁾

Voor de HR-professional wordt het steeds ingewikkelder om talent van amateurs te onderscheiden. Je kunt niet alleen oordelen op basis van een certificering, je moet dieper zoeken naar intrinsieke motivaties en persoonlijke capaciteiten. Dit lijkt een open deur, maar in de informatiebeveiliging is het voor een HR-professional moeilijk om te bepalen hoe goed iemand is in een bepaald domein.

Lee stelt in het artikel over "op zoek naar de paarse eekhoorn" voor om te kiezen voor een open functieomschrijving "Gewenste ervaring" ; "Beveiliging is een snel evoluerende ruimte, die bestaat uit tal van verschillende technologieën, en van geen enkele persoon wordt verwacht dat hij of zij elk kenmerk op deze lijst bezit. Een nieuwsgierige geest, het vermogen om na te denken over de regels en hoe ze te breken, en de bereidheid om te leren zijn de belangrijkste eigenschappen waar we naar zoeken. Als je een aantal van de volgende eigenschappen hebt en bereid bent om er meer van te leren, dan horen we graag van je."

Ondanks de enorme vooruitgang in de industrie, de race om talent en het uitkijken naar de Purple Squirrel(4), blijft de onnauwkeurigheid van gegevens en informatie een enorme uitdaging voor veel organisaties. Dit blijkt uit de ontoereikende detectiepercentages en de trage reactietijden op aanvallen. De belangrijkste hoofdoorzaken voor deze onvoldoende geconfigureerde beveiligingstools en veel puntoplossingen is het gebrek aan vakmanschap. Maar de inzet is hoog. Een inadequate en schijnbaar zwakke reactie op inbreuken kan een negatieve impact hebben op de gepercipieerde waarde van het bedrijf en mogelijk op de aandelenkoers. Deze informatie dringt zelden door tot de operationele teams. Ik ben ervan overtuigd dat dit - volgens een recent rapport van Wakefield Research en Deloitte(5) - de belangrijkste reden is waarom de helft van de CISO's hun SOC willen uitbesteden om meer 'bang for their buck' te krijgen.

Ik zie de rol van de CISO uitbreiden tot 'econoom', 'talentmagneet' en 'orchestrator' met een duidelijke visie op hoe de valkuilen op de drie organisatieniveaus moeten worden aangepakt.

Econoom omdat de CISO moet vertrouwen op gedetailleerde, betrouwbare brongegevens om het cyberrisiconiveau te bepalen in de context van alle andere risico's. En het uitleggen en verkopen aan het bestuur van de 'biggest bang for the buck', gebaseerd op feiten en cijfers.

Talentmagneet vanwege de voortdurende 'oorlog' om beveiligingstalent dat risico- en beveiligingsleiderschap, vakmanschap en eigenaarschap verankert aan het voortdurend 'slijpen van de zaag' en het stroomlijnen van de operatie; en ten slotte om redelijke zekerheid te tonen over de informatie- en cyberbeveiligingsfunctie van onder tot boven. Dit betekent dat de CISO het aannameproces moet leiden en beïnvloeden van eersteklas personeel dat in staat is risico- en beveiligingseigenaren te vaccineren en positief te beïnvloeden - talent dat in staat is KRI's en KPI-mechanismen in de technologie en processen te integreren.

Vandaar de noodzaak om ook toekomstige rollen te voorspellen, zoals beschreven in deze sectie, die snel kunnen ontstaan.

Orchestrator omdat 'risico's van derden' het grootste risico vormen voor platformgebaseerde bedrijfsmodellen die werken in een groot eco-api-gebaseerd systeem dat duidelijke, vooraf gedefinieerde indicatoren nodig heeft om de cyberprestaties over meerdere omgevingen (van links naar rechts) te bewaken. Dit betekent dat de CISO de beveiliging van de hele keten moet ontwerpen en orkestreren, zodat hij of zij volledig zicht heeft op de effectiviteit van de beveiligingscontroles.⁽⁶⁾.

Met onze executive masterprogramma's aan Antwerp Management School ontwikkelen we professionals die goed uitgerust zijn om de uitdagingen van deze snel veranderende digitale wereld aan te gaan en de rollen op zich te nemen die ik in dit artikel beschrijf.

Referenties:

[1.] L. Zuzkin, J. Lopez, E. Weiss Kaya en A. Smallwood (2018), „Cybersecurity readiness trough workforce development,” in Navigating the digital age, Tim Dempsey, 2015, pp. 307-311.

[2] Cognizant, „21 More jobs of the future; A guide to getting and staying employed through 2029,” Cognizant Center for the future of work, London, 2018. & J. Cummings, „Building a cyber savvy board,” in Navigating the digital age, Korn Ferry, 2018, pp. 313-318.

[3] https://www.reddit.com/r/cybersecurity/comments/e23ffz/security_certification_progression_chart_2020/

[4] Lee, M. (2019) ISACA Journal; Stop Looking for the Purple Squirrel: What’s Wrong With Today’s Cybersecurity Hiring Practice

[5] Wakefield Research and Deloitte Report on The future of cyber survey 2019, polled 500 C-level executives who oversee cybersecurity at companies with at least $500 million in annual revenue including 100 CISOs, 100 CSOs, 100 CTOs, 100 CIOs, and 100 CROs

[6] K. Bittianda, S. LaCroix en C. Patrick, „Evaluating and attracting your next CISO: More sophisticated approaches for a more sophisticated role,” in Mavigating the digital age, Egon Zehnder, 2018, pp. 319-323.