Blog Hugo Aalders

Blog Hugo Aalders: Ode aan de CISO

Kent u de CISO in uw organisatie? Zo nee, maak dan gauw een afspraak om kennis te maken. Zo ja, zet hem of haar deze week eens in het zonnetje. Want dat is verdiend, zeker na alle problemen met Citrix. Dat schrijft Hugo Aalders, directeur VNG Realisatie, in zijn nieuwe blog op iBestuur.

Dagelijks worden talloze aanvallen uitgevoerd op computernetwerken, ook op die van gemeenten. De Informatiebeveiligingsdienst (IBD) publiceerde onlangs de cijfers over vorig jaar en die liegen er niet om. Ransomware, phishing, illegale cryptomining… ook gemeenten ontkomen niet aan allerlei vormen van digitale criminaliteit. De incidenten halen het nieuws, maar zijn het topje van de ijsberg want gemeentelijke netwerken worden dagelijks duizenden keren bestookt. Het is de taak van de CISO om met zijn of haar organisatie de juiste maatregelen te nemen, zodat het risico op een hack of een lek zo klein mogelijk is. Soms zijn dat drastische maatregelen, zoals het tijdelijk uitzetten van bepaalde systemen als die onveilig zijn. Zoals bij Citrix gebeurde.

Het nemen van de juiste technische maatregelen is natuurlijk belangrijk, maar dat is bij lange na niet voldoende om organisaties digitaal weerbaar te maken. Elke CISO die ik spreek, benadrukt dat de mens de zwakste en daardoor de belangrijkste schakel is. Je kunt je beveiliging technisch gezien nog zo goed op orde hebben: als een medewerker zijn wachtwoord prijsgeeft, dan kunnen criminelen alsnog inbreken.

De problemen met Citrix hebben aangetoond hoe kwetsbaar we zijn, de cijfers van de IBD laten zien dat digitale dreigingen reëel en talrijk zijn. Iedereen gaat er vanuit dat veilig werken normaal is, maar het is niet normaal. De CISO zorgt voor een eerste line of defense, maar kan het niet alleen. Dataveiligheid is namelijk van ons allemaal. Dus de volgende keer als een CISO vraagt om een veilig wachtwoord te kiezen, doe er dan wat mee.