Het dynamische duo: waarom de CIO en CISO van moderne ondernemingen moeten samenwerken
Organisaties die een succesvolle strategie voor cybersecurity of databescherming willen, hebben daarvoor gedegen processen voor interne communicatie en samenwerking nodig. Met name de dynamiek tussen de CIO en CISO kan van invloed zijn op de besluitvorming voor de korte en lange termijn. Dat geldt voor alles van strategische investeringsbesluiten tot het coördineren van de incidentrespons tijdens een cyberaanval.
Hoewel CIO’s een breed scala aan verantwoordelijkheden hebben ten aanzien van de IT-omgeving van hun organisatie, is het takenpakket van CISO’s vaak nog uitgebreider. Hieronder vallen onder meer risicobeheer, governance en compliance op bedrijfsbrede schaal. De CISO wordt doorgaans gezien als de autoriteit ten aanzien van de beveiliging. Organisaties beginnen echter in te zien dat de CIO en CISO niet volledig los van elkaar kunnen opereren.
De afgelopen jaren is de manier waarop deze senior leiders met elkaar samenwerken binnen veel organisaties aanzienlijk veranderd. Dit komt doordat cybersecurity en databescherming hoog op de bedrijfsagenda zijn geplaatst. De traditionele silo-aanpak is niet langer toereikend. In het ideale scenario werken de CIO en CISO zij aan zij aan de ontwikkeling van strategieën voor IT-beveiliging en cyberweerbaarheid. Of het nu gaat om het ontwerpen van een netwerkperimeter of het voldoen aan de toenemende eisen van de wet- en regelgeving, hun verantwoordelijkheden en expertisegebieden moeten nauw worden geïntegreerd. Hierdoor kunnen alle beveiligingsmaatregelen worden afgestemd op de behoefte aan operationele efficiëntie.
Volgens recent onderzoek is 99% van alle zakelijke leiders van mening dat hun ITOps- en security-team intensiever samenwerken. Desondanks zegt slechts 48% dat deze teams gezamenlijke processen en procedures in het leven hebben geroepen voor het herstel van cyberaanvallen (bron).
Er moeten diverse en potentieel lastige obstakels worden overwonnen om deze twee partijen bij elkaar te brengen, en een verkeerde aanpak kan funeste gevolgen hebben. Zo kunnen er problemen ontstaan als de financiële en personele middelen ontoereikend zijn om invulling te geven aan de door de CIO en CISO gestelde prioriteiten. We leven in een tijd waarin er sprake is van een forse druk om de beveiligingsbudgetten op te voeren. Hierdoor kunnen senior managers zich gedwongen zien om compromissen te sluiten om te waarborgen dat hun doelstellingen worden gehaald.
Het is ook mogelijk dat de CIO en CISO verschillend denken over de invloed van cybersecurity op zakelijke aspecten zoals de productiviteit. Vaak moet er een precair evenwicht worden gevonden om te voorkomen dat de implementatie van effectieve technologieën voor cybersecurity en databescherming het personeel onder al te hoge druk zet. Effectieve samenwerking kan in dit geval een win-winsituatie opleveren voor CEO’s en bestuursleden, wier uiteindelijke taak is om een positief bedrijfsresultaat te waarborgen.
Compliance en cyberveerkracht waarborgen
Hoe zou deze dynamiek er nu precies in de praktijk moeten uitzien? Er zijn veel raakvlakken tussen deze cruciale bedrijfsfuncties. Een goed voorbeeld zijn problemen die de weerbaarheid van organisaties in de weg zitten. Deze vormen een cruciaal aandachtspunt voor elke moderne onderneming. Een van de meest effectieve manieren om de mate van operationele veerkracht te beoordelen is om te testen hoe effectief IT- en security-teams, technologieën en processen op beveiligingsincidenten reageren en de bedrijfsprocessen weten te herstellen.
Het doel hierbij is om tot verbeteringen te komen op het gebied van beveiliging en risicoreductie die verder gaan dan cybersecurity. Deze moeten zijn gericht op elk onderdeel van de IT-omgeving waarbinnen sprake is van kwetsbaarheden. Dat is alleen mogelijk als het proces integraal wordt toegepast op alles van technische uitdagingen tot mensen, procedures en training. Zonder de volledige betrokkenheid van zowel de CIO als CISO zal het enorm lastig zijn om de cyberweerbaarheid op te voeren.
En dan is er nog de groeiende complexiteit rondom wet- en regelgeving. Managers op C-niveau zullen moeten samenwerken om ervoor te zorgen dat ze binnen wetgevingskaders zoals de GDPR opereren (iets wat met name belangrijk is voor de CIO) en de beveiliging robuust genoeg is om de kans op een datalek te minimaliseren (iets wat onder de verantwoordelijkheden van de CISO valt). Zonder een samenhangende strategie is de kans veel kleiner dat een organisatie de gecoördineerde aanpak kan hanteren die nodig is voor het waarborgen van compliance.
Organisaties die de samenwerking tussen de CIO en CISO en hun teams optimaliseren zullen in een veel betere positie verkeren om de prioriteiten op het gebied van IT en security af te stemmen op de strategische bedrijfsdoelstellingen. Deze mate van volwassenheid stelt alle betrokkenen in staat om effectiever om te gaan met de groeiende technologische complexiteit en dynamische aard van digitale innovatie. En dat is tegenwoordig een eerste vereiste voor het realiseren van concurrentievoordeel.
Operationele volwassenheid kan ook goed van pas komen bij het toekomstbestendig maken van de organisatie met het oog op de onvermijdelijke wisselingen van de wacht. CIO’s en CISO’s blijven doorgaans drie tot vijf jaar in functie (bron). Het integreren van effectieve processen binnen hun verantwoordelijkheidsgebieden is daarom van cruciaal belang voor het minimaliseren van verstoringen van strategieën als senior managers de organisatie verlaten.
Er is dus duidelijk sprake van diverse bewegende onderdelen en wedijverende prioriteiten die bepalen hoe effectief de integratie van de rol van CIO en CISO zal verlopen. Organisaties die begrijpen hoe nauw deze senior managers moeten samenwerken zullen echter in een veel betere positie verkeren om te zorgen voor de flexibiliteit, beveiliging en prestaties die wereldwijd bovenaan de bestuursagenda van organisaties staan.
Dyon de Bruijne is Principal Architect bij Commvault