6 minute read
De nieuwe rol van de Security Officer
Onder invloed van cloud computing De nieuwe rol van de Security
Officer
Advertisement
Nu cloud computing op grote schaal omarmd wordt, begint ook meer en meer duidelijk te worden wat dat betekent voor de rol van de security officer. Met de komst van cloud computing verandert de rol van deze functionaris aanzienlijk.
Bedrijven ontdekken op grote schaal de voordelen van cloud computing. De voordelen van schaalbaarheid en kosteneffectiviteit lijken de fase van koudwatervrees te hebben verdrongen. Waar bedrijven aanvankelijk de kat uit de boom keken, zien we nu dat cloud computing een opmars maakt. Deze opmars zal voorlopig niet stoppen. Het is niet meer weg te denken uit het huidige IT-landschap.
De mate waarin ondernemingen het nut erkennen van een security officer, hangt in hoge mate af van de wendbaarheid van deze functionaris. Het is dan ook tijd voor een herbezinning van het vakgebied en de rol van de security officer daarin. Alleen dan kan de security officer zinvol blijven bijdragen aan de beveiliging van de organisatie. Ook hier geldt het Darwin-principe dat de security professional die zich het best weet aan te passen aan de veranderende omgeving, de grootste kans heeft om te overleven. De middelen die de security officer ter beschikking staan om zijn werk uit te voeren, veranderen. Ook de taakstelling verandert en er zijn andere vaardigheden nodig.
Taakstelling
Als een organisatie de automatisering geheel zelf verzorgt, hebben security officers veelal twee rollen:
In een adviserende rol helpen zij de (IT-) organisatie passende maatregelen te nemen om informatie assets te beschermen. Daarnaast controleert de security officer de beveiligingsmaatregelen die de (IT-) organisatie heeft genomen, beoordeelt of deze passend zijn en rapporteert hierover.
Als (delen van) de automatisering aan cloud-leveranciers zijn uitbesteed, dan is het adviseren van de eigen IT’ers over de mogelijk te nemen maatregelen niet meer nodig. Het controleren en beoordelen van de beveiligingsmaatregelen wordt dan anders. Aanvullend zal een security officer nu met de leverancier in gesprek moeten gaan over de vraag welke beveiligingsmaatregelen aanvullend nog nodig zijn. Ook moet worden onderhandeld over de prijs en de prioriteit van de gewenste wijziging.
Andere middelen
Met de komst van cloud veranderen ook de middelen die de
security officer kan gebruiken om het werk te kunnen uitvoeren. In de meeste gevallen werkt een cloud-leverancier niet mee als een client zelf de werking van beveiligingsmaatregelen wil toetsen.
Als klant van een cloud-leverancier zit er in dat soort situaties weinig anders op dan genoegen te nemen met hetgeen de cloudleverancier rapporteert. Als bij de selectie van de cloud-aanbieder goede afspraken zijn gemaakt, kan de security officer zich baseren op certificeringen en audit-rapporten die worden geleverd. ISO27001, ISAE 3000, SOC 2 zijn rapporten die klanten van cloud-leveranciers vaak vragen om te beoordelen of passende beveiligingsmaatregelen zijn genomen.
Vaardigheden
Met de komst van cloud computing moet de security officer dus de vaardigheid ontwikkelen om certificaten en audit-rapporten te interpreteren. En omdat de afweging of aanvullende maatregelen moeten worden genomen complexer is geworden, moeten ook de analytische vaardigheden beter zijn ontwikkeld.
Meer dan voorheen is het van belang dat de security officer goede communicatieve vaardigheden heeft, waarmee de juiste informatie boven water komt. Zo zijn gesprekstechnieken van essentieel belang om de werkelijke oorzaak en gevolgen voor de eigen organisatie van eventueel ontbrekende maatregelen vast te stellen. Zodra duidelijk is welke additionele maatregelen gewenst zijn, moet de security officer kunnen onderhandelen om de eigen wijzigingen op de agenda van de leverancier van de cloud oplossing te krijgen.
Conclusie
Door de opmars van cloud computing wordt het beoordelen van beveiligingsmaatregelen voornamelijk gedaan op basis van informatie die de cloud-leverancier zelf aanlevert. Het is van belang dat de security officer weet wat nodig is om een juiste beoordeling te maken. Certificaten en audit-rapporten zijn daar - meer dan in traditionele IT - onderdeel van. De security officer moet deze weten te analyseren en interpreteren. Op basis van deze bevindingen moet de security officer met de cloud-leverancier in contact treden over gewenste maatregelen. Daarbij kan onderhandelen over prioriteit en prijs een onderdeel van het werk worden.
Met de komst van cloud computing verandert de rol van de security officer dus aanzienlijk. Zorg ervoor dat information security een vakgebied blijft met toegevoegde waarde. Dat kan alleen als de security officer zelf ook meeverandert.
drs. Michel van der Burg CISSP CISA CIPP/E is directeur van Rood Risicobeheersing
Vermoeidheid en kennistekort leidt echter tot vertragingen
Digitale transformatie is een belangrijke trend voor datacenters. Het jaagt immers als geen ander het gebruik van cloud- en andere datacenter-applicaties aan. Nieuw onderzoek door Avanade toont echter aan dat vermoeidheid en een gebrek aan kennis wel eens een probleem zou kunnen gaan vormen.
Hoewel maar liefst acht van de tien Nederlandse bedrijven digitale transformatie als een top drie prioriteit ziet, gelooft bijna de helft van deze bedrijven dat de vooruitgang vertraging oploopt vanwege ‘digitale transformatiemoeheid’. Dit blijkt uit onderzoek onder senior executives van de Belgische en Nederlandse organisaties door Avanade. Dit bedrijf positioneert zichzelf als een digitale innovator binnen het Microsoft ecosysteem.
Vier hobbels
Avanades wereldwijde onderzoek onder 1.150 beslissers toont aan dat digitale transformatiemoeheid het resultaat is van vier barrières die zich voordoen in het transformatieproces. De grootste barrières zijn:
Het aannemen en opleiden van geschikt personeel met de juiste kennis en vaardigheden voor het transformatieproces (50 procent) Het investeren in nieuwe technologieën en innovaties zonder deze te integreren in de huidige systemen (45 procent) Het moderniseren van de huidige systemen en processen (41 procent) Een te gefragmenteerde bedrijfscultuur die geen ingrijpende veranderingen aanvaardt (30 procent). Nederlandse bedrijven scoren op wereldniveau beter als het aankomt op toegang tot de juiste tools - technologieën die de integratie ondersteunen - die nodig zijn voor de digitale transformatie. Slechts 17 procent van de ondervraagde senior executives vindt dit een barrière, ten opzichte van 28 procent wereldwijd.
Kritieke systemen nog niet in de cloud
Ondanks de eerder genoemde digitale transformatiemoeheid geeft ruim de helft (51 procent) van de organisaties in Nederland en België aan dat ze hun kritieke systemen al gemoderniseerd of vervangen hebben. Wereldwijd ligt dit gemiddelde een stuk lager (40 procent). Het onderzoek toont aan dat de belangrijkste reden om essentiële systemen te vervangen, het verhogen van de verwachte groei is (met gemiddeld 13 procent) en het vergroten van het te verwachten marktaandeel (met gemiddeld 10 procent). Daarnaast zijn het verminderen van de kosten (met gemiddeld 9 procent), het vergroten van de productiviteit (met gemiddeld 10 procent) en het vergroten van de ‘agility’ (met gemiddeld 10 procent) belangrijke drijfveren voor het digitaliseren van kritieke systemen. Als het gaat om de transitie naar de cloud lopen Nederlandse en Belgische bedrijven achter. Wereldwijd heeft gemiddeld 79 procent van de bedrijven zijn activiteiten naar de cloud verplaatst om nieuwe intelligente technologie beter te laten integreren binnen de organisatie. In België en Nederland ligt dit gemiddelde slechts op 70 procent.
Nederlandse en Belgische bedrijven zien veel voordelen van digitale transformatie. Bedrijfsleiders hechten vooral belang aan de evolutie en groei van hun bedrijf, het verlagen van kosten en het verhogen van efficiëntie en flexibiliteit wanneer ze een digitale transformatie overwegen. Bovendien komt een dergelijke transitie ook de productiviteit van werknemers ten goede, stelt Avanade vast. Innovatie, efficiëntie en (klant)ervaring zijn de drie factoren waarop Avanade focust voor elke succesvolle digitale transformatie. Bedrijven verschillen en ieder bedrijf wordt geconfronteerd met andere uitdagingen. Het onderzoek toont aan dat een optimale combinatie van deze bouwstenen leidt tot de beste resultaten.
Van de redactie
{‘Nederlandse bedrijven scoren op wereldniveau beter als het aankomt op toegang tot de juiste tools die nodig zijn voor de digitale transformatie’
Over het onderzoek
Vanson Bourne interviewde in opdracht van Avanade 1.150 senior executives (waarvan 100 in België en Nederland). Het onderzoek werd afgesloten in juni 2019. De respondenten komen uit Europa, Noord-Amerika en Azië, zijn werkzaam bij organisaties met een jaaromzet tussen de $500 miljoen en +$10 miljard dollar uit uiteenlopende industrieën zoals communicatie, media, hightech, financiële diensten, gezondheid en openbare dienstverlening.
