‘Je moet toch echt een technische achtergrond hebben om een goede CISO te zijn’
"
Mark Osborne is 43 jaar en al twintig jaar werkzaam in de IT. Begonnen als technicus en na een aantal technische opleidingen en een MBA sinds kort Chief Information Security Officer (CISO) bij netwerkbedrijf Interoute. "Ik doe dit nu drie maanden, maar ik kan nu al zeggen dat het mijn ideale baan is, tot mijn pensioen blijf ik dit wel doen. Het is een leiderspositie, iets heel anders dan een traditionele Chief Information Officer (CIO). Vooral de directe contacten met de seniors en met het bestuur zijn belangrijk. Als je die niet hebt, ben je een IT-manager. Ik rapporteer direct aan James Kinsella, de CEO van Interoute."
Waarom een CISO?
Binnen veel bedrijven is de één verantwoordelijk voor de pc’s en iemand anders voor de servers. Een firewall kan prima het één beschermen, maar niet voldoende zijn voor het ander. Daar kunnen dingen misgaan, een goede CISO coördineert en dat is belangrijk binnen een bedrijf. Iedereen vertrouwt banken, een CISO is nodig binnen bedrijven die nog vertrouwen moeten winnen, zoals investeringsmaatschappijen. Ik stel mensen gerust, leg uit hoe systemen bedrijven beveiligen en denk mee over beveiligingsstrategieën. Tien jaar geleden was het allemaal veel simpeler. Er was nog geen wetgeving en bijvoorbeeld een mainframe was eenvoudig fysiek te beveiligen.
Nu wordt er samengewerkt tussen bedrijven en werken werknemers vaak thuis. Alle uitgewisselde informatie moet beveiligd worden. Het is misschien niet zo dat ik de naam ken van elk virus, of de inhoud van elke nieuwe wet, maar ik ken wel de procedures en als er een probleem is weet ik hoe ik ermee om moet gaan."
Wat doet een CISO precies?
"Het is onmogelijk om een standaard dag te beschrijven, want het is geen gestructureerde baan. Er is geen routine. Ik ben bijvoorbeeld de afgelopen tijd druk bezig geweest met het integreren van de netwerkinfrastructuur van Works en PSINet, dat Interoute net heeft overgenomen. Een CISO moet dus gespecialiseerd zijn in veel verschillende disciplines. Het ene moment ben ik bezig met strategie en het andere moment word ik opgepiept als er iets mis gaat met bijvoorbeeld een firewall. Ik heb genoeg ervaring om ook daarmee aan de slag te kunnen. Dat is het voordeel van mijn technische achtergrond. Gartner kan wel zeggen dat er meer vraag is naar Risk Managers, mensen met alleen een bedrijfskundige achtergrond, iemand die ‘goed kan communiceren’, maar je moet toch echt wel een technische achtergrond hebben om een goede CISO te zijn. Alsof ik niet kan communiceren! Ik kom al jaren als consultant in besturen van grote bedrijven, vaak met andere consultants. Tegen belastingjuristen wordt toch ook niet gezegd dat ze zonder jargon moeten praten? ‘Lose the geek speak’ noemen ze dat - echt belachelijk!"
Dus een MBA-diploma is niet het belangrijkst?
"Nee, absoluut niet! Juist mijn technische kennis en ervaringen zijn nuttig voor mijn werk. Te veel mensen denken dat IT’er niet echt een baan is en dat een MBA vereist is om het werk van een CISO te kunnen doen. In de praktijk merk ik dat ik het niet zo is. Voor mijn MBA heb ik een half jaar het vak business evaluation gedaan. Wat doe ik daar nu nog mee? Dat diploma heb ik gehaald om geloofwaardig over te komen en ik weet niet eens zeker of het geholpen heeft. Als ik nu moet kiezen tussen kennis van beveiliging of business-kennis dan kies ik voor het eerste. Voor het inschatten van de risico’s en de beveiliging van een bedrijf zijn technische vaardigheden echt belangrijker."
Waar is een CISO verantwoordelijk voor?
"Niet voor lopende zaken, maar wel voor alles met een IP-adres en alles wat naar buiten gaat. Mijn taak binnen Interoute is tweeledig. Aan de ene kant ben ik verantwoordelijk voor de beveiliging van onze interne infrastructuur. Maar belangrijker is, dat ik ook verantwoordelijk ben voor de beveiliging van het ruim 23.000 kilometer tellende glasvezelnetwerk dat Interoute door heel Europa bezit. Onze klanten moeten er vanuit kunnen gaan dat hun bedrijfskritische data storingsvrij op de bestemming aankomt. Dat is onze verantwoordelijkheid. Daarvoor moet ik verder denken dan alleen systeemtechnische maatregelen. Ook zaken als fysieke beveiliging en noodstroomvoorziening zijn belangrijk. Als er een probleem is, ben ik verantwoordelijk en moet ik het oplossen. Dat is mijn taak. De ene keer kan ik mijn baas geruststellen dat het meevalt, maar soms moet ik juist aan de bel trekken als iedereen denkt dat iets niet ernstig is. ‘Bloody hell it is!’ roep ik dan. Ik ben verantwoordelijk als er iets misgaat, dus ik moet overal bovenop zitten."
Dat moet ook wel eens moeilijk zijn?
"Inderdaad valt dat niet altijd mee. Gartner heeft wel gelijk als ze zeggen dat CISO’s gehaat worden binnen hun bedrijf. Ik moet mensen soms verbieden met hun favoriete software te werken omdat het niet binnen het beleid past. Skype logt bijvoorbeeld niets, terwijl ons beleid is dat alles wat extern gaat, gescand en opgeslagen wordt. Dus geen Skype en dat maakt mensen soms boos. Er zijn echt wel goede redenen voor en die leg ik ook wel uit. Maar ik kan niet alles toestaan. Daarbij moet ik mensen aanspreken en zelfs ook straffen voor fouten die ze maken. Als iemand het bedrijf blootstelt aan risico’s en er door een virus bijvoorbeeld een deadline niet wordt gehaald, ben ik verantwoordelijk. Straffen is nooit leuk en gelukkig heb ik het de afgelopen drie maanden nog niet hoeven doen, maar het hoort wel bij mijn baan."
En toch is het leuk werk?
"Ik doe het ontzettend graag. Het hoogste doel van Interoute is schone netwerken, zonder virussen, hackers en lekken. Het is bijna fatalistisch, want het is eigenlijk niet te doen, maar dat houdt het spannend. Het verveelt nooit en na de eerste tien jaar als beveiliger heb ik er niet meer wakker van gelegen."
Beeld: De Beeldredaktie/Kick Smeets