3 minuten leestijd 15 dec. 2020
EYE on finance magazine

Cultural legacy staat doorbraak CISO in de weg

Door EY Nederland

Multidisciplinaire organisatie voor zakelijke diensten

3 minuten leestijd 15 dec. 2020

Yuri Bobbert, hoogleraar aan de Antwerp Management School over de belangrijkste drempels die de Chief Information Security Officer te nemen heeft.

Het vakgebied van de Chief Information Security Officer (CISO) maakt een ontwikkeling door die vergelijkbaar is met de route die in het verleden de functie van CFO heeft afgelegd. Het werk van beide functionarissen is niet wezenlijk anders, alleen het instrumentarium verschilt. De CFO wil financial assurance verkrijgen, maar wil ook kosten besparen op allerlei inefficiënte finance processen. Je ziet precies hetzelfde gebeuren bij informatiebeveiliging. Met als primaire doelstelling een organisatie die resilient is, kijkt ook de CISO met een economische blik naar het security landschap. Diens handicap is echter dat het, anders dan bij de CFO het geval is, in de operatie nogal eens misgaat. Dat is de achilleshiel van elke CISO.

Hoewel het werkterrein van de CISO steeds serieuzer wordt genomen, vraagt nog menig CEO zich af: moet daar nou zoveel geld naartoe? Kunnen we dat niet op een slimmere manier doen? Nou, dat kan wel degelijk! Uit ervaring weten we dat een gemiddeld bedrijf ongeveer zeventig security tools heeft. Absoluut overdreven, want zoveel tools heeft een bedrijf helemaal niet nodig. Waarom ze dan toch worden aangeschaft? Dat komt omdat de CIO, meestal de baas van de CISO die het budget houdt, zich geen ongelukje kan permitteren en de kennis ontbeert om kritische vragen over de investering te stellen. Helaas wordt de helft van die tools in de praktijk niet gebruikt en ligt ergens op een plank te verstoffen. Ook situaties waarin een tool die twee ton kost en hoge onderhouds- en implementatiekosten vaak niet meer dan twee gebruikers heeft, zijn bepaald geen uitzondering.

De meest professionele CISO staat daarom naast de CIO, denkt kritisch mee over investeringsbeslissingen en werkt aan rationalisering van het informatielandschap. Zo iemand heeft een staf, budget, mandaat en power. Helaas is dat type CISO in de financiële sector nog slechts op de vingers van één hand te tellen. De meeste CISO’s hebben die ambitie misschien wel, maar blijven steken in de waan van de dag en opereren vooral reactief. Op die manier kom je natuurlijk niet als serieuze gesprekspartner bij de CEO aan tafel. Overigens ook niet door als een soort van politieagent heel hard te lopen roepen dat de security niet op orde is. Na verloop van tijd wordt zo’n CISO in de organisatie als zeurpiet weggezet. Bij de CEO in beeld komen en blijven, bereik je door waarde toe te voegen door mee te denken aan de ontwikkeling van nieuwe verdienmodellen. Dat type CISO moet ook de financiële vertaalslag kunnen maken. Zo iemand is in staat om de effectiviteit van security keihard aan te tonen door deze meetbaar te maken.

Wat positief is voor de CISO is dat er een nieuwe generatie leiders aantreedt. Het grootste misverstand over vernieuwing is namelijk niet de IT-legacy, maar de cultural legacy. De gemiddelde bestuurskamer in Nederland wordt nog steeds hoofdzakelijk bevolkt door de oude generatie met een achtergrond in finance en legal. Die enkel de harde assets activeren en minder oog hebben voor intangible assets. Zij zijn opgeleid met de traditionele principes van corporate governance en willen vooral geen risico lopen. En IT is natuurlijk een – nieuw – risico. Investeringen in IT-innovatie werden in de bestuurskamer in het verleden regelmatig weggewimpeld met het argument dat de toezichthouder (bijvoorbeeld DNB) het nooit goed zou vinden. Een dooddoener van jewelste. Eigenlijk staat alleen de cultural legacy een definitieve doorbraak van de CISO nog in de weg.

Yuri Bobbert

Yuri Bobbert, hoogleraar aan de Antwerp Management School en Global CISO bij cybersecurity-onderneming ON2IT en auteur van het boek Leading in Digital Security.
 

Eye on Finance magazine

Eye on Finance magazine biedt inzichten, informeert en inspireert executives in de financiële sector.

Lees hier

Samenvatting

Het vakgebied van de Chief Information Security Officer (CISO) maakt een ontwikkeling door die vergelijkbaar is met de route die in het verleden de functie van CFO heeft afgelegd. Het werk van beide functionarissen is niet wezenlijk anders, alleen het instrumentarium verschilt.

De meest professionele CISO staat naast de CIO, denkt kritisch mee over investeringsbeslissingen en werkt aan rationalisering van het informatielandschap. Yuri Bobbert, hoogleraar aan de Antwerp Management School bespreekt de belangrijkste drempels die de Chief Information Security Officer te nemen heeft.

Over dit artikel

Door EY Nederland

Multidisciplinaire organisatie voor zakelijke diensten