De eerste CISO werd in 1994 benoemd door Citigroup, toen nog Citicorp, na een reeks aanvallen van Russische hackers. Er zijn naar schatting wereldwijd ongeveer 32.000 CISO’s. Slechts 5% van de CISO’s rapporteert rechtstreeks aan de CEO. In 2022 was dit nog 8%.
De gemiddelde leeftijd van de CISO 55 jaar. Desondanks is de ervaring in de functie van CISO relatief kort. 40% geeft aan slechts 0 tot 2 jaar werkervaring te hebben en nog eens 40% 3 tot 5 jaar.
Het is misschien een schok voor u. Veel CISO’s zijn in mijn ogen overbodig.
Ze zijn niet in staat een organisatie zo ver te krijgen dat mensen sterke wachtwoorden gebruiken, organisaties tijdig systemen patchen en mensen niet in phishing e-mail trappen. CISO’s zijn onderdeel van het probleem. Niet de oplossing. Bovendien kunnen de meeste taken van een CISO worden overgenomen door AI.
Wat doet een CISO zoal? U weet dat beter dan ik. Ik heb het even nagekeken. Onder de bezielende leiding van Fred van Noord publiceerde het PvIB een tijdje geleden alweer ‘Functies in de informatiebeveiliging’. Een belangrijk resultaat gebied van een CISO is beleid.
Ik heb ChatGPT gevraagd om een formeel en complex beveiligingsbeleid voor een producent van karton voor me te schrijven:
Figuur 1: Informatiebeveiligingsbeleid
Binnen luttele seconden heb een document waar menig CISO een puntje aan kan zuigen. En ik gebruik niet eens de betaalde versie. Zonder gekheid. Er is wel degelijk een probleem:
De meeste CISO’s hebben geen team, doen het erbij en hebben geen budget. Het zijn eenlingen die, vanuit de tweede lijn en hun ivoren toren, een beetje aanrommelen. De CISO vertelt de eerste lijn wat ze moeten doen. Helaas luister de eerste lijn vaak niet. En in het geval van vragen uit de eerste lijn neemt de CISO het liefst het initiatief en de verantwoordelijkheid weg bij de degenen waar dat thuishoort.
Ik benijd jullie CISO’s niet. Behalve misschien jullie salaris. Het gemiddelde salaris van een CISO in de VS is bijna tweehonderdenvijftigduizend dollar per jaar. Geld maakt niet gelukkig.
Een CISO is niet alleen een eenling. Een CISO heeft vaak geen carrièrepad of -perspectief. Dit leidt regelmatig tot teleurstelling en problemen. Voordat je het weet beland je op een zijspoor al dan niet met een burn-out waar op de One Conference in oktober ook al voor werd gewaarschuwd.
CISO’s maken het zichzelf moeilijk. Ze creëren bij voorkeur een eigen wereld met een eigen jargon. Want ja, kennis is macht. Welke beroepsgroep heeft er nu een eigen woordenboek? Het cybersecurity woordenboek legt zo’n 650 cybersecurity termen uit in begrijpelijke taal. Een paar mooie voorbeelden: air gap, botnet, catfishing, false negative, red team enzovoort. Termen waar de rest van de organisatie maar wat graag bullshit bingo mee speelt. Met ChatGPT achtige oplossingen hoeft de CISO al helemaal niet meer uit te leggen wat die termen betekenen.
Dan hebben we nog zoiets als een ISMS… Een ISMS, ofwel Information Security Management System, is zoals jullie weten een gestructureerd raamwerk van beleid, processen, procedures en technologieën dat wordt gebruikt om de informatiebeveiliging binnen een organisatie te beheren en te verbeteren. Het doel van een ISMS is om de vertrouwelijkheid, integriteit en beschikbaarheid van informatie te waarborgen door risico's effectief te identificeren, beoordelen en beheersen. Met dank aan ChatGPT. Waarom creëren CISO’s een eigen systeem? Waarom is security geen onderdeel van de reguliere planning- en controlcyclus van een organisatie? Dit werkt in de hand dat CISO’s maar blijven aanmodderen in de tweede lijn en de eerste lijn haar verantwoordelijkheid niet neemt.
De CISO zoals we die nu kennen is overbodig. Zoals mijn kinderen zeggen, het zijn NPC’s: Non-Playing Characters. Ik bedoel daarmee dat de CISO is een functie die geen onderdeel van de organisatie is, op zichzelf staat en door de organisatie niet serieus genomen wordt. Het is niet voor niets dat in bijvoorbeeld NIS2 organisaties niet worden verplicht om de CISO-rol in te vullen. Het moet anders. Hoe zorgen we er nu met elkaar voor dat de eerste lijn, de business, haar verantwoordelijkheid neemt? Is een andere aanpak een oplossing?
Er zijn verschillende wetenschappelijke theorieën die ons kunnen helpen. Bijv. Het gedragsveranderingswiel van Susan Michie of de theorie van gepland gedrag van Icek Aizen.
De essentie is dat de CISO menselijk gedrag moet leren begrijpen.
“Human behavior is not the weakest link in cybersecurity, it is our understanding of human behavior”
Figuur 2: Gedragsverabderingswiel van Susan Michie
Ook moet een CISO leren om grenzen te stellen: ga niet op de stoel van de eerste lijn zitten. En richt geen eigen, opzichzelfstaand systeem in. Een CISO zou eigenlijk een tijdelijke rol moeten zijn. Een aanjager. Iemand die bewustzijn creëert, het management coacht en beveiliging onderdeel van de processen maakt.
Toch is er meer nodig. Zelf ben ik een groot aanhanger van de inoculatietheorie. Op dit moment proberen we mensen in de vorm van een (online) training of spel vooral kennis bij te brengen om hun weerbaarheid te vergroten. Dit werkt nauwelijks. Iedereen weet dat je op de snelweg niet harder dan 100 mag rijden, toch houden heel veel mensen zich hier niet aan.
De inoculatietheorie zegt dat het vooraf blootstellen van een persoon aan een verzwakte vorm van materiaal dat zijn houding bedreigt, die persoon meer weerstand zal bieden tegen dergelijke bedreigingen. Zolang het geïnoculeerde materiaal niet sterk genoeg is om zijn verdediging te overwinnen. Zo zou de CISO eerst zichzelf en daarna alle medewerkers als het ware moeten injecteren met een gezonde dosis cybercrime of andere cyberellende. Medewerkers kruipen in de huid van een cybercrimineel en leren om bijvoorbeeld via zwakke wachtwoorden, kwetsbaarheden in software en met phsishing om ransomware te verspreiden en CEO-fraude te plegen enzovoort. Hacksclusive ontwikkelde daarvoor samen met DOL events het spel ‘Mission is Possible’.
Daarbij en daarnaast moet de CISO meer gebruik maken van de kennis en ervaring van hackers. Alezander Klöpping schreef het al in 2014. Hackers zijn de nieuwe helden. Chris van ’t Hof beschrijft in zijn boek ‘Helpende hackers’ een aantal van deze helden. Mijn persoonlijke held is 0xDUDE. Heeft misschien ook met z’n geboortejaar te maken. 0xDUDE was een van de grumpy old hackers die tot twee keer toe het Twitteraccount van Trump hackte. Weten jullie nog hoe? 0xDUDE is de oprichter van DIVD en meldde in zijn carrière meer dan 10.000 (!) lekken. CISO moeten net als hacker het onverwachte verwachten.
Erik Rutkens