CISO is een functie in opmars. Cyberdreigingen worden immers steeds ernstiger. Maar waar houdt de Chief Information Security Officer zich precies mee bezig? Hoe ziet een typische dag eruit van de manager die over data en systemen waakt? We vroegen het aan Tim Groenwals, CISO bij de NMBS.
8 uur Netwerken
In de trein telefoneer ik met CISO's van andere bedrijven, die ik meestal ken van vakbijeenkomsten. Ik onderhoud mijn netwerk en discussieer over uitdagingen, over welke projecten bij hen lopen, over budgetverantwoording, over onze strategie en vaak ook over recente cyberdreigingen. Dat netwerken vind ik erg belangrijk: niemand is volmaakt, we kunnen allemaal wat opsteken van de best practices van collega's.
9 uur-11 uur Projectmeetings
's Ochtends neem ik deel aan projectmeetings, soms vergader ik met externe partijen. Ik ben verantwoordelijk voor het vermijden van cybercrime op onze websites, in onze applicaties en systemen. Dat vertaalt zich in vier werkdomeinen: informatie security, information risk management, ITservice continuity management en data protection.
Ik ben bij de NMBS eind 2013 begonnen, nadat een aantal gegevens van klanten op internet terechtgekomen waren. Sindsdien worden die vier domeinen echt ernstig genomen. Ik streef er dan ook naar om die vier aspecten onder mijn verantwoordelijkheid al in een vroeg stadium bij alle relevante projecten te betrekken. Zo werk ik mee aan het project om wifi aan te bieden in onze stations. Veiligheid en privacy zijn daarbij bijzonder belangrijk. Tijdens de meetings tracht ik de risico's te identificeren, vraag ik aandacht voor de privacy van de klanten, en kijk ik naar de continuïteit van de IT-systemen. Na de teammeeting heb ik vaak één-op-één vergaderingen met een aantal projectleden.
11u-12u Statusvergadering met het team van de CIO
Ik heb op quasi dagelijkse basis een statusvergadering met de CIO en haar team. Daar bespreken we de algemene IT-strategie, de budgetten en de projecten. Er wordt geluisterd naar mijn mening over de veiligheid. Ook de algemene status van de bedrijfsrisico's komt aan bod. Ik analyseer de risico's en hun mogelijke impact, de CIO beslist welke acties we ondernemen
12 uur Lunch
's Middags eet ik meestal een broodje met mijn team. Dat team bestaat uit zes vaste medewerkers, en een aantal consultants die mijn team aanvullen met gespecialiseerde skills die we zelf niet in huis hebben.
14 uur Teammeeting en meetings met medewerkers
Ik bespreek de projectmeetings met mijn team. Samen bepalen we onze aanpak. Ik doorloop de belangrijkste aspecten van de projecten. We kijken waar we staan, verdelen de taken, spreken af wie met wie contact opneemt en plakken daar deadlines op. Vervolgens heb ik een aantal individuele meetings met teamleden over projecten, waarbij we concreter en praktischer werken en meer op details ingaan. Ik besteed ook heel wat tijd aan individuele coaching. Het menselijk aspect vind ik erg belangrijk.
16 uur Informelere contacten met de C-suite
Later op de dag is er meestal wel tijd in de agenda's om met andere collega-managers op een minder formele manier te communiceren. Regelmatig overleg ik met de CEO en de CFO over risk en veiligheid, soms ook met de sales- en marketingdirectie. In die discussies voel ik me een evangelist van de informatiebeveiliging.
Ik verdedig de added value die security en privacy kunnen bieden, dring aan op voldoende investeringen, vraag om al in een heel vroege fase bij projecten betrokken te worden. Ik deel ook mijn informatie over de budgetten en best practices van peer-bedrijven en tracht van security en privacy een reflex te maken bij de andere directieleden.
Na 18 uur
Na 18 uur slapen de cybercriminelen natuurlijk niet. Ik houd me altijd beschikbaar bij eventuele incidenten. Dat kan gaan van een ge-de-facete website, een privacy incident of het binnendringen in een IT-systeem. Bij zo'n calamiteit heb ik vooral een coördinerende rol. Ik tracht de schade zo veel mogelijk te beperken, en neem contact op met de relevante interne en externe partijen. Ik geloof sterk in een open communicatie over incidenten: dat is de beste manier om lessen te trekken.
1. Security moet een enabler zijn. CISO’s moeten aandacht vragen voor security, maar ze mogen zich niet profileren als remmende factor. Ga aan de slag als een evangelist, en maak projecten mogelijk door toegevoerde waarde te leveren.
2. Security overstijgt IT. Als CISO is technologische knowhow niet voldoende. Je moet je technische kennis vertalen naar begrippen waar de andere afdelingen mee aan de slag kunnen. Metaforen en beeldspraak zijn vaak dankbare tools.
3. Wees waakzaam. Wees zelf waakzaam, maar streef naar een goede nachtrust van klanten en medewerkers. Veiligheid is de added value die je functie levert aan de rest van de onderneming en aan de klanten.
4. Creëer verantwoordelijkheid. Een perfecte beheersing van de technische tools garandeert nog geen veilig bedrijf. Het gedragsaspect is bijna altijd de zwakste schakel. Preventie is dan ook cruciaal. De CISO speelt daar een pedagogische rol.
5. Netwerk met collega's. Bouw een vertrouwensband op met collega's uit andere sectoren. Tracht het warm water niet opnieuw uit te vinden. Stel vragen aan collega's, laat je steunen door hun best practices. Durf te vertrouwen op externe partijen en hun gespecialiseerde kennis.
6. Volg een risk-based aanpak. Wees er van bewust dat incidenten zullen gebeuren. Alles wordt complexer en een foutje is snel gemaakt. Het is niet meer mogelijk om alles waterdicht te maken. Weeg de risico's, en focus op die met de grootste potentiële impact.projecten mogelijk door toegevoerde waarde te leveren.
7. Ken uw tegenstanders. Onderschat
de tegenstanders niet. De incidenten van vandaag worden niet meer veroorzaakt
door studenten die in het weekend hacker spelen. Cybercriminaliteit is nu het
werk van goed georganiseerde criminele organisaties, mogelijk ook van concurrenten
of overheden.