Het dilemma van de CISO-compliancevaardigheden
Is er een algemeen gebrek aan mensen met de vereiste vaardigheden om de rol van CISO te vervullen? Met techneuten die zich niet kunnen engageren met het bestuur en managementtypes die door de techneuten niet serieus worden genomen? Hoe zit het met de vaardigheden die behoefte hebben aan compliance en regelgeving? Zijn die ook schaars? Dan Raywood evalueert het probleem.
Er wordt al lang gedebatteerd over de kwestie van de vaardigheidskloof, vooral met betrekking tot degenen die geschikt zijn om de verantwoordelijkheden van de CISO op zich te nemen.
Naast het vertrouwen om te spreken en te rapporteren aan de raad van bestuur, zijn er overwegingen over de vraag of de CISO technisch onderlegd moet zijn en op de hoogte moet zijn van de werking en configuratie van de verdedigingsmechanismen, en of zij in staat moet zijn om veiligheidsbewustzijn te verspreiden en risico in de hele organisatie.
Als dat veel lijkt op iemands bord, overweeg dan het compliance-element. Ja, Governance, Risk en Compliance (GRC) zijn de hoekstenen van het beveiligingsplan van een bedrijf, maar in hoeverre wordt er bij compliance rekening gehouden met de vaardigheden van de CISO, en is er een tekort aan nieuwe vaardigheden op het gebied van compliance-kaders en regelgeving voor de toekomstige CISO?
In onderzoek Ik heb in 2019 opgetreden voor Infosecurity Magazine en heb gesprekken gevoerd met studenten, mensen die stage lopen en mensen die hun carrière in cybersecurity beginnen. In dat geval vroeg ik de mensen die we ondervroegen of ze wat wisten GDPR, PCI DSS en PSD2 waren en hoe ze verschilden. We ontvingen 54 reacties, waarvan 35 positief en 19 negatief.
Deze specifieke regelgeving heeft veel aandacht gekregen, en het concept van GDPR zou de gemiddelde persoon op straat niet moeten zijn ontgaan, maar is het vanuit het perspectief van veiligheidsleiderschap duidelijk wat er moet gebeuren om deze leemte op te vullen, en is er een kenniskloof over het voldoen aan de nalevingsbehoeften?
Brian Honan, CEO van BH Consulting, is van mening dat er een tekort is aan ervaren mensen die beschikbaar zijn als CISO's. Met de druk op organisaties om te laten zien dat ze “beveiliging serieus nemen”, worden veel mensen aangesteld in de CISO-rol die daar misschien niet geschikt voor zijn.
“Veel onervaren CISO's hebben de neiging zich te concentreren op de technische aspecten van hun functie, omdat zij zich daar vaak het prettigst bij voelen; Het kan echter zijn dat ze geen ervaring hebben met cyberrisicobeheer, beleidsontwikkeling en -implementatie, of het ontwikkelen van een effectief bewustmakingsprogramma”, zegt hij.
Een ander probleem waar CISO’s vaak mee worstelen is het richten van het complianceprogramma op alleen de beveiliging of de IT-functie binnen een organisatie, beweert Honan. “In veel gevallen is een complianceprogramma van toepassing op de hele organisatie en niet alleen op die functies.”
Het begrijpen en implementeren van compliance is meer dan alleen het inpassen ervan in uw beveiligingsteam en verdedigingslagen, maar ook in de bredere organisatie.
“Het andere probleem dat ik vaak tegenkom bij nalevingsvereisten zoals de AVG of de Britse Data Protection Act is dat veel CISO’s zich alleen richten op het beveiligingselement van die regelgeving, wat ertoe leidt dat de organisatie niet volledig aan de regelgeving voldoet”, zegt hij.
Rowenna Fielding, directeur van Miss IG Geek Ltd, zegt over haar contacten met klanten en anderen in de beveiligingssector: “Ik kan zeker zeggen dat er aanzienlijke hiaten zijn met betrekking tot de AVG”. In het bijzonder, zegt ze, “hebben alarmerend weinig beveiligingsmensen een goed begrip van wat ‘persoonlijke gegevens’ eigenlijk betekenen (de meesten verwarren het met PII)” in een poging die “elke GDPR-nalevingsactiviteit waarbij ze betrokken zijn ondermijnt, door de reikwijdte te bepalen vanaf het begin te smal.”
Op de vraag waarom hun werkgevers niet willen investeren in effectieve, betekenisvolle trainingen om aan de compliance-eisen te voldoen, zegt Fielding dat dit vaak als te veel kost, “en dat het een luxe is om de vrije tijd en het geld te hebben om op individuele basis onderwijs te zoeken.”
Ze zegt dat een uitdaging is dat er vaak te veel beloftes op het gebied van productmarketing zijn om compliance te bereiken, omdat ‘compliance-mensen wanhopig naar ‘oplossingen’ reiken (inclusief outsourcing) waarvan ze hopen dat ze een deel van de immense cognitieve last van het werk zullen verlichten, maar die oplossingen zelf vereisen nog steeds veel menselijke inspanning om hun functies op te zetten, te monitoren, te controleren, aan te passen en in stand te houden – bovenop alle nieuwe risico’s die de oplossingen zelf met zich meebrengen.”
Owanate Bestman is de oprichter van het cybersecurity-personeelsbedrijf Bestman Solutions, en op de vraag of hij denkt dat er op dit gebied een tekort aan vaardigheden is, zegt hij dat dit niet het geval is, omdat er vaak te veel wervingsbedrijven zijn die “op zoek zijn naar eenhoorns om de CISO-titel te behalen. on” terwijl het bedrijf eigenlijk op zoek is naar iemand om GRC te doen en met toezichthouders samen te werken.
Als er een tekort is aan mensen die nodig zijn om aan de vereisten van compliance- en regelgevingskaders te voldoen, moet er rekening worden gehouden met het risico dat de functies onvervuld blijven. Als iemand op senior niveau geen verantwoordelijkheid neemt, bestaat dan het gevaar dat deze ongedaan wordt gemaakt?
Honan zegt dat er een probleem is waarbij CISO's raamwerken, standaarden en zelfs wettelijke verplichtingen afdoen als onnodige overhead die hen “niet veiliger zal maken” of zelfs het argument aanhalen dat “beleid een hacker niet zal tegenhouden”.
“Wat ze vaak missen is dat de vereisten die in wetten en raamwerken zijn vastgelegd, er zijn om een gestructureerde benadering van beveiliging te bieden en om de betrokkenheid van bedrijven bij een betere beveiliging te garanderen”, zegt hij. “Een goede CISO begrijpt hoe raamwerken, standaarden en wettelijke verplichtingen kunnen helpen de risico’s voor het bedrijf te verminderen en tegelijkertijd de middelen te verkrijgen die ze nodig hebben om de organisaties beter te beveiligen.”
Er zijn mogelijkheden om te leren wat er nodig is om compliance in een organisatie mogelijk te maken, maar de preventieve elementen zijn eerder kosten en tijd dan een volledig gebrek aan vaardigheden. "Ik denk niet dat er sprake is van een gebrek aan vaardigheden, maar er is zeker een onbeheersbare verhouding tussen de beschikbare denkkracht en de taakvraag." Fielding is het daarmee eens en zegt dat mensen alles hebben wat ze nodig hebben om aan de regels te voldoen, behalve de tijd en energie om ze effectief toe te passen.
