Vragen om te stellen aan de CISO

‘Ga het goede gesprek aan’ – het is een vaak gebezigde zin door bestuurders, maar wat betekent het concreet als het gaat over digitale weerbaarheid? Wat moet u de chief information security officer (CISO) eigenlijk vragen om welbeslagen ten ijs te komen, als u eigenlijk niet zo veel af weet van cybersecurity? Het Nederlands Cyber Security Centrum (NCSC) helpt de bestuurder op weg met een factsheet vol goede vragen.

Niet afvinken

Een waarschuwing vooraf: de vragenlijst is géén checklist waar u van die handige vinkjes voor kunt zetten. Het idee is om dat gesprek nu eens echt aan te gaan. Afhankelijk van de organisatie kan dat nog over andere dingen gaan dan wat er in de factsheet langskomt, schrijft de NSCS. Zo zijn sommige gemeenten ook verantwoordelijk voor OT-systemen (operational technology, zoals software voor het op afstand besturen van bruggen). Dat zijn interessante systemen om een land te ontregelen, maar de verantwoordelijkheid hiervoor ligt niet altijd bij de CISO. Daarom kan het nuttig zijn om nog iemand bij het gesprek te betrekken.

Niet technologie, maar een positieve bedrijfscultuur is het eerste thema op de lijst. Dat is een cultuur waarin medewerkers openlijk durven praten over zorgen, waar ze alert zijn op veiligheid en waar ze niet worden veroordeeld om fouten, maar mogen leren van vergissingen. Vraag aan de CISO in hoeverre er binnen de organisatie sprake is van een positieve bedrijfscultuur en wat er (nog) nodig is om zo’n cultuur te creëren. Vraag vooral ook wat u als bestuurder zelf kunt doen.

Kennis en vaardigheden

De taal van de bestuurder en die van de CISO komen niet altijd overeen. Stel dat een bestuurder van een CISO wil weten (en dat wilt u): In hoeverre beschik ik over de juiste kennis en vaardigheden met betrekking tot cybersecurity om verzekeren dat onze digitale weerbaarheid op een passend niveau is?  Dan is het nodig dat ze er beide zeker van zijn dat ze dezelfde taal spreken. De bestuurder moet weten welke kennis en vaardigheden er nodig zijn om de verantwoordelijkheid te kunnen nemen. Tegelijkertijd kan deze vraag de CISO helpen de boodschap goed uit te leggen, zodat het landt bij de bestuurder.

Verantwoordelijkheid

Verantwoordelijkheid is een hot item met de komst van de Cyberbeveiligingswet, de implementatie van de Europese NIS2-richtlijn. Vraag aan de CISO wat er verandert met de komst van NIS2 met betrekking tot uw verantwoordelijkheid. Wat zijn de meest urgente zaken waar u zich op moet richten? Vraag ook wat de CISO van u nodig heeft om voldoende grip te hebben op zijn of haar eigen taken, bevoegdheden en verantwoordelijkheden (TBV, om in de taal van de CISO te blijven).

Risico's in kaart brengen

Andere thema’s die aan de orde komen, zijn Agendering, Risico’s, Te beschermen belangen, 'Continuous in control'-proces en wet- en regelgeving. Agendering gaat over elkaar op de hoogte houden. Het in kaart brengen en beheersen van risico’s biedt genoeg stof voor minimaal een ochtendvullend gesprek. Dat zou niet alleen over hackers moeten gaan, maar ook onder meer over de vraag hoe de organisaties zich wapent tegen een computerstoring. Te beschermen belangen zijn zaken die cruciaal zijn voor dienstverlening van uw organisatie.  Vraag Wat is de status van de maatregelen die we al hebben genomen en die we nog moeten nemen? Vergeet niet te vragen welke maatregelen níet worden genomen en waarom niet.

Strategie inrichten

'Continuous in control'-proces gaat over het inrichten van een strategie voor digitale weerbaarheid. Begin eens met de vraag of de organisatie een cybersecuritystrategie heeft en hoe die eruit ziet, raadt het NCSC aan. Vanuit daar kunt u doorvragen over hoe de organisatie komt tot een ‘gedragen continous in control proces voor cybersecurity’.

Al met al kunt u voor deze afspraak rustig een paar uur uittrekken, of meerdere afspraken maken. Hoe u weet of al het nodige is besproken? Daarbij helpt de laatste vraag: Als we alles uitvoeren wat we net hebben besproken; voldoen we dan aan de huidige wet- en regelgeving op het gebied van cybersecurity? Wat moeten we mogelijk nog doen? Als bonus een afsluiter uit de koker van journalisten: Welke vraag heb ik je niet gesteld, maar zou je wel willen dat ik je gevraagd had?