Beveiliging wordt zaak van de "CISO"

Vooral dat laatste is belangrijk en daarvoor is een nieuwe functionaris in opkomst: de CISO - de Chief Information Security Officer. Letterlijk in opkomst, want volgens Gartner-analist Paul Proctor zijn ze wereldwijd nog op de vingers van twee handen te tellen. Maar binnen drie jaar heeft tweederde van de grootste bedrijven een CISO in dienst. Hij moet leiding geven aan samenhangende programma’s op het gebied van informatiebeveiliging. Hij bepaalt of risico’s van nieuwe toepassingen of bedrijfsprocessen die door ICT ondersteund moeten worden te groot zijn. En hij kan daarop ook ‘nee’ zeggen. Uiteindelijk is hij dan een risicobeheerder, stelt Proctor. En hij is in de meeste gevallen géén ICT’er, wél een beveiligingsexpert met zeer veel kennis van de organisatie. Een hoofd ICT met CISO-aspiraties zal minstens een MBA-opleiding moeten volgen om geschikt te zijn, stelt Proctor. "Hij moet aan de bedrijfskant uitleggen wat de risico’s zijn, wat acceptabele risico’s zijn en vervolgens de mensen van de ICT-afdeling uitleggen wat de organisatie van hen wil. Hij moet dus kunnen balanceren op tactisch, strategisch en technisch niveau. Het verschil tussen de CISO en een hoofd beveiliging is dat die laatste álle risico’s wil bestrijden terwijl de CISO die risico’s afweegt tegen de belangen van de organisatie. Een ICT’er snapt in veel gevallen de risico’s van de organisatie niet. Bovendien verstaan ze elkaar niet." Als de functie van CISO wordt gecreëerd, dan is het initiatief afkomstig van het topmanagement. Proctor: "De IT-afdeling komt er niet mee, want die wil geen macht verliezen. En de ‘business’ wil de verantwoording voor die risico’s weer niet accepteren."