CISO worden GEORGES ATAYA

CISO worden
GEORGES ATAYA
CISM kwalificeert momenteel meer dan vijfduizend
personen in de wereld
Verantwoordelijk worden voor IT-beveiliging en de
titel van chief information security officer (CISO)
krijgen. Dat is een mooie doelstelling voor de carrière
van een IT professional. Maar om zo ver te geraken, en
vooral om daar te blijven, moet de uitverkorene over de
nodige kennis beschikken en de noodzakelijke taken
kunnen uitvoeren. Dat is de echte uitdaging.
Vijf activiteitsdomeinen lijken me essentieel. Het eerste
bestaat uit het installeren van een governance kader
voor informatiebeveiliging binnen het bedrijf. Het komt
erop aan de strategie te bepalen, met voldoende
betrokkenheid van de directie. De rollen,
verantwoordelijken
en
relaties
met
andere
departementen vastleggen. Alles evalueren wat te
maken heeft met de relevante wetgeving en
reguleringen, en de interne standaarden en praktijken.
En ook de richtlijnen bepalen voor de bud gettering van
beveiliging.
Het tweede domein bestaat uit het beheren van de
risico's. Dat gebeurt via een evaluatieproces dat
systematisch, analytisch en continu moet zijn. Men
moet strategieën en prioriteiten vastleggen voor
maatregelen die deze risico's kunnen verminderen.
Ten derde zijn er het ontwerp, het installeren en het
beheer van basisrichtlijnen voor beveiliging (we
spreken over security baselines), interne procedures die
nodig zijn voor het beveiligen van enerzijds de
technologische infrastructuur en anderzijds de
bedrijfsprocessen. Die praktijken en standaarden
moeten bovendien ingebouwd worden in de
overeenkomstige
levenscycli,
er
moeten
verantwoordelijkheden worden gedefinieerd, er moet
bepaald worden welke kennis en middelen nodig zijn.
Bovendien moet er een boordtabel komen met prestatieindicatoren en escalatieprocedures.
Als vierde domein hebben we het managen van de
handelingen
die
te
maken
hebben
met
informatiebeveiliging. Zorgen voor de nodige
procedures,
de
prestatiemetingen en
de monitoring, de
voortdurende studie
van de kwetsbaarheid,
de
analyse
van
veranderingen
die
de
risicofactor
kunnen
wijzigen, de controle van
externe diensten n tenslotte
de verbetering van kennis
en informatie bij de diverse
betrokkenen.
Het vijfde domein bestaat uit het ontwikkelen en
beheren van de capaciteit om naar een normale situatie
terug te keren na eender welk incident. Dat betekent de
installatie van methodes en hulpmiddelen om
gebeurtenissen die de veiligheid van informatie binnen
het bedrijf in gevaar kunnen brengen, te kunnen
detecteren, identificeren en analyseren. Het betekent
ook het ontwikkelen van procedures voor herstel en
recuperatie, het geregeld testen van apparaten voor
bewaking en herstel, het managen van de post-incident
periode en het bepalen van de oorzaken en noodzakelijk
herstelacties.
Misschien wilt u nagaan of dit alles in uw organisatie
vandaag gebeurt zoals het hoort. Of bent u
geïnteresseerd in een overzicht van de noodzakelijke
kennis om deze taken tot een goed einde te brengen.
Het is dan goed om te weten dat er een kennisbasis
bestaat die deze activiteiten en kennis inventariseert.
Namelijk de kennisbasis die gebruikt wordt om IT
beveiligingsspecialisten te certifiëren, en waaraan ik
enkele jaren geleden de kans heb gekregen mee te
werken. Vandaag dragen meer dan vijfduizend
personen in de wereld dit certificaat van CISM, of
Certified Information Security Manager.
Georges Ataya ([email protected]) is hoogleraar aan de Solvay Business School, internationaal vicepresident van het IT
Governance Institute en afgevaardigd bestuurder van ICT Control SA-NV.
Uittreksel van IT Professional Magazine N° 7 van 06/10/2006