De rol van de Chief Information Security Officer (CISO) is nog nooit zo uitdagend en cruciaal geweest als nu. Met de exponentiële toename van cyberdreigingen, die onherstelbare schade kunnen toebrengen aan de reputatie, het vertrouwen en de activa van organisaties, moeten CISO's voorbereid zijn op een steeds complexer en dynamischer landschap.
In 2024 registreerde Brazilië een aanzienlijke toename van cyberaanvallen. In het eerste kwartaal was er een groei van 38% ten opzichte van dezelfde periode in 2023, waarbij Braziliaanse organisaties gemiddeld 1.770 aanvallen per week ondergingen. In het tweede kwartaal was de stijging nog sterker en bereikte 67% ten opzichte van het voorgaande jaar, met gemiddeld 2.754 wekelijkse aanvallen per organisatie. In het derde kwartaal bedroeg het gemiddelde wekelijkse aantal aanvallen per organisatie in Brazilië 2.766, wat een stijging van 95% betekent ten opzichte van dezelfde periode in 2023. De sectoren die het meest het doelwit waren, waren financiën, gezondheidszorg, overheid en energie, met ransomware, phishing, DDoS en APT's (Advanced Persistent Threats).
CISO's moeten zich aanpassen aan dit nieuwe tijdperk van ongekende cyberaanvallen. Vaak vervullen ze meerdere rollen tegelijkertijd en, in het geval van Brazilië, moeten ze een scenario van kostenbeheersing en investeringen in cyberbeveiliging beheren.
De rol van de moderne CISO.
De rol van CISO is relatief nieuw. In tegenstelling tot CFO's en CEO's bestond de functie van Chief Information Security Officer pas officieel halverwege de jaren negentig.
Bovendien is de rol van de CISO binnen organisaties voortdurend aan verandering onderhevig. Volgens het CISO-rapport van Splunk uit 2023 was 90% van de respondenten van mening dat de rol een "totaal andere baan" was geworden dan toen ze begonnen.
Hoewel de CISO aanvankelijk verantwoordelijk was voor het ontwikkelen van beleid, beveiligingsbeheer en de implementatie van meer rudimentaire beveiligingsmaatregelen, waardoor deze professional een veel technischer dan een managementperspectief had, is de lijst met verantwoordelijkheden tegenwoordig aanzienlijk gegroeid. Een voorbeeld is de politieke functie van de rol: CISO's moeten nauwe werkrelaties onderhouden met de CEO, de CFO en de juridische afdeling van de organisatie. Het beveiligingsbudget is essentieel om de talloze bedreigingen die er vandaag de dag bestaan het hoofd te bieden.
En dit blijft een probleem voor bedrijven wereldwijd, met name in Brazilië. De complexiteit van het scenario is enerzijds te wijten aan een land met een van de hoogste aanvalspercentages ter wereld. Anderzijds zorgen economische onzekerheden en de schommelingen van de dollar (aangezien de overgrote meerderheid van de oplossingen in vreemde valuta wordt verkocht) ervoor dat CISO's de beschikbare middelen moeten afwegen om de bescherming van het bedrijf te waarborgen.
Goede communicatoren
In tegenstelling tot het stereotype beeld van de technisch onderlegde CISO uit het verleden, moet de CISO van vandaag de dag een leiderschapsrol op zich nemen en goed kunnen communiceren om leiding te geven aan de ontwikkeling van een solide cybersecuritycultuur binnen het bedrijf.
Een ander belangrijk punt is dat CISO's niet alleen kunnen optreden bij het beheer van informatiebeveiliging. Ze hebben de steun en samenwerking nodig van het externe ecosysteem, waaronder leveranciers, klanten, partners, regelgevende instanties, brancheorganisaties en beveiligingsgemeenschappen. Deze actoren kunnen informatie, middelen, oplossingen en best practices aanleveren die de leidinggevenden helpen de beveiliging van hun organisatie te verbeteren en te versterken. Communicatie en het opbouwen van relaties met de markt zijn daarom ook essentieel.
Veiligheid moet vanuit een holistisch perspectief beginnen.
Het hebben van geïsoleerde en reactieve beveiligingstools en -processen is niet voldoende. CISO's hebben een holistische en geïntegreerde visie op beveiliging nodig, die alles omvat, van werknemerscultuur en -bewustzijn tot governance en afstemming op bedrijfsdoelstellingen.
Beveiliging moet worden gezien als een integraal en essentieel element voor de continuïteit en groei van de organisatie, en niet als een kostenpost of een belemmering. Om dit te bereiken, moeten CISO's andere afdelingen en leidinggevenden binnen het bedrijf betrekken, de waarde en het rendement van beveiliging aantonen en duidelijke en meetbare beleidslijnen en indicatoren vaststellen.
Om bedreigingen te kunnen voorspellen, is een gevoel van urgentie essentieel.
Cyberdreigingen evolueren voortdurend en worden steeds geavanceerder. Ze kunnen elke organisatie treffen, ongeacht de omvang of sector. Daarom is het belangrijk om altijd op de hoogte te zijn van markttrends en kwetsbaarheden, en te investeren in oplossingen en methodologieën waarmee u dreigingen en risico's kunt anticiperen.
Eén manier om dit te bereiken is door een security-by-design-benadering te hanteren, die beveiliging integreert vanaf het ontwerp tot en met de levering van de producten en diensten van de organisatie. Een andere manier is het uitvoeren van periodieke tests en simulaties om de effectiviteit en veerkracht van beveiligingssystemen en -processen te beoordelen en mogelijkheden voor verbetering en mitigatie te identificeren.
Hoewel de rol van de CISO nog steeds verandert, is deze professional essentieel voor het beschermen en innoveren van organisaties in het digitale tijdperk. CISO's moeten voorbereid zijn op een ongekende hoeveelheid bedreigingen, die proactief, strategisch en collaboratief informatiebeveiligingsbeheer vereisen.
Tot slot moeten CISO's in gedachten houden dat informatiebeveiliging niet alleen een technische kwestie is, maar ook een factor van concurrentievermogen en waarde voor klanten. Degenen die erin slagen beveiliging af te stemmen op de bedrijfsdoelstellingen en de verwachtingen van stakeholders, en die de voordelen en uitdagingen van beveiliging helder en overtuigend weten te communiceren, zullen in staat zijn een sterke en duurzame beveiligingscultuur binnen de organisatie te creëren en bij te dragen aan het succes en de groei ervan in het digitale landschap.
