“Cyberhelden” zijn niet schaalbaar

Cyberhelden

Op 10 juni verscheen in Trouw dit bericht met oorspronkelijk de titel “Informatiebeveiliger is geen Cyberheld”. In dit bericht haakt economie redacteur Hans Nauta, aan op een onderzoek onder voor de rijksoverheid werkende CISO’s van de Auditdienst Rijk (ADR).

Nauta beschrijft de bevindingen uit het rapport in niet mis te vatten en spectaculaire quotes:

  • CISO’s worden “niet altijd betrokken worden bij een nieuw computersysteem of een website”
  • “Ondertussen wordt er wel veel vergaderd in overlegjes ‘met verwarrende overlegnamen’ waarvan niet altijd duidelijk is welk doel die dienen.”
  • “Hoewel de regels al jaren bestaan, is de uitvoering bij veel organisaties nog ‘in ontwikkeling’. Oftewel: ze voldoen er niet aan.”

Gelukkig kom Nauta ook met een oplossing: “Ciso staat voor chief information security officer. Het is een titel waarachter je een cyberheld verwacht. Het is een belangrijke functie, want ciso’s moeten ervoor zorgen dat de informatiebeveiliging op orde komt.” En, met de titel” “De topambtenaar die hackers moet weren is geen cyberheld”, suggereert hij dat dit nu niet zo is.

Cyberheld logo

Cyberheld logo?

Maar moet informatiebeveiliging wel afhankelijk zijn van “helden”. Moet een goede beveiliging wel afhangen van de mannen en vrouwen met kennis, passie, drive en een cape met een logo?

Laten we beginnen met iets recht te zetten. “De” rijksoverheid heeft niet maar één CISO. Ja, er is één CISO rijk, Aart Jochem, die overigens zeker geen cyberkluns is, maar iemand met meer dan 10 jaar ervaring in cyber security zowel binnen de overheid als het bedrijfsleven. Maar er werken veel meer gedreven, ervaren en capabele mensen voor de rijksoverheid. Denk bijvoorbeeld aan de CISO van de Autoriteit Consument en Markt (ACM), Fleur van Leusden, die in haar vrije tijd ook de CISO is van cyber vrijwilligersorganisatie DIVD. En het worden er meer! Bijvoorbeeld Oscar Koeroo, die overstapt van KPN naar VWS en je wel kunt beschrijven als het prototype “Cyberheld” (gelukkig minus de cape en het lycra).

Ja, natuurlijk, een CISO met gedegen kennis, passie en drive helpt enorm, maar met alleen helden red je het niet. “Cyber” is overal en dat betekent dat we overal zullen moeten beveiligen, niet alleen daar waar een held zit. En, we zullen er ook voor moeten zorgen dat beveiligen gemakkelijk wordt, zodat mensen begrijpen wat er van ze verwacht worden en hoe ze dat moeten doen.

En dat is, denk ik, de echte kern van het ADR rapport: de onderzochte organisaties slagen er niet in het normenkader waartegen de ADR toetst, de Baseline Informatiebeveiliging Rijksdienst (BIR) te vertalen naar de taal van de andere helden en niet helden in de organisatie.

Want: helden schalen niet. Een organisatie met een veiligheidscultuur wel.