Trend Micro: 'De strategische rol van de CIO bij Risicomanagement'

“Een vraag die al een tijdje speelt, maar steeds relevanter wordt, is: hoe ga ik om met een externe of hybride workforce?”, zegt Steven Heyde, Regional Director Benelux bij Trend Micro. “De versnelling die we hebben gezien door wat we een paar jaar geleden hebben meegemaakt met de pandemie zet zich voort. Dit heeft een fundamentele impact op hoe we ons werk organiseren, maar ook hoe we ons bedrijf en de infrastructuur organiseren.”

Nauw verbonden daaraan is de dynamiek van de cloud. “Dit is iets dat al vele jaren speelt, maar nog steeds zitten veel bedrijven in die cloudtransformatie. Cloud is nog steeds cruciaal, en staat daarom hoog op de agenda om de digitale transformatie te versnellen en efficiënter te laten verlopen.”

Dreiging
Tegelijk is het dreigingslandschap voortdurend in beweging. “De impact daarvan is groot. Dat zet het onderwerp ook op directieniveau op de agenda. Eigenlijk gaat het nu om een risicobeheerproces, waarbij security verschuift naar zakelijk risicobeheer. Als cybersecurityspecialist zagen wij dit aankomen en transformeren wij mee om dit mogelijk te maken met onze oplossingen.”

Kosten blijven in deze dynamiek altijd een rol spelen. Hij vervolgt: “Hoe zorg je ervoor dat je dit nog steeds kostenefficiënt en effectief kan uitvoeren? Het bewegen naar de cloud wordt complexer, net als het dreigingslandschap. Met een beperkt budget en beperkte middelen, zowel qua vaardigheden als mensen, is er een stimulans voor consolidatie, integratie, en het gebruik van nieuwe technologie als AI.”

AI
“Ik wil dat niet simplificeren door te zeggen dat AI de oplossing voor alles is, maar het zal zeker helpen om bepaalde uitdagingen aan te gaan. Het zal onze analisten en klanten die met beveiligingsteams werken, helpen om slimmer en effectiever beveiligingsbeheer te implementeren.”

“Het gebruik van kunstmatige intelligentie in onze oplossingen om beveiligingsteams slimmer en sterker te maken, is van groot belang. We moeten echter ook rekening houden met nieuwe uitdagingen die dit met zich meebrengt. Een leermodel kan bijvoorbeeld worden beïnvloed. Daarom zetten we sterk in op het behouden van de controle over ons eigen taalmodel.”

Controle
“We willen ervoor zorgen dat de intelligentie die we in onze producten inbouwen, onder onze controle blijft en niet afhankelijk is van onbetrouwbare of oncontroleerbare invloeden van derden. Eerlijkheid gebiedt te zeggen dat de snelheid waarmee technologie zich nu ontwikkelt, ook een reden moet zijn om deze ontwikkelingen met de nodige voorzichtigheid te bekijken.”

“Ik denk dat kunstmatige intelligentie een fundamentele verschuiving zal zijn. Echter, daarmee zijn niet alle problemen de wereld uit. Organisaties moeten blijven nadenken over hoe we onze oplossingen slimmer en efficiënter kunnen maken, zonder dat ze hun eigen aanvalsoppervlakken vergroten of oplossingen minder veilig maken. Ik denk dat we nog in de kinderschoenen staan wat betreft de toepassing van kunstmatige intelligentie. Technologische ontwikkelingen gaan snel en bedrijven moeten groot genoeg en zich bewust genoeg zijn van deze ontwikkelingen om ermee om te kunnen gaan.”

Ransomware
Wat betreft de dreiging blijft ransomware de meest pijnlijke en direct voelbare bedreiging voor bedrijven vandaag. “Dus we moeten onszelf de vraag stellen: hoe is het mogelijk dat we na al die jaren nog steeds met dit fenomeen zitten? Dat komt doordat het aanvalsoppervlak voor organisaties steeds complexer wordt naarmate meer apparaten verbonden worden, bijvoorbeeld via het IoT.”

“Als we één deur sluiten, openen er wel weer drie andere. Maar op het moment dat de bedrijfsvoering stilstaat, bijvoorbeeld wanneer een ziekenhuis geen patiënten meer kan opnemen of een bedrijf niet meer kan produceren of factureren, dan is dat het grootste pijnpunt. “

Digitale transformatie
De digitale transformatie is overigens niet alleen een technologische uitdaging. “We proberen werelden te integreren die van nature een andere aanpak hebben. Als we kijken naar de manier waarop in het verleden applicaties werden gebouwd, of hoe monolithische applicaties functioneerden, is de verschuiving naar de cloud drastisch anders. Daarom zien we dat klanten die 'geboren zijn in de cloud' minder obstakels ervaren bij het maken van de overstap naar de cloud.”

Bij bedrijven die deze transitie doormaken zijn er ook andere krachten aan het werk. “Je hebt niet alleen de uitdaging om het verleden mee te nemen, maar je krijgt ook te maken met een bijna filosofische verandering in het ontwikkelen van applicaties. Er kunnen spanningen ontstaan tussen teams die vanuit een cloud-denkwijze opereren en teams die meer traditionele benaderingen volgen. Dit kan leiden tot vragen over wat het betekent voor onze afhankelijkheden als we zaken naar de cloud verplaatsen.”

Regelgeving
Een andere factor is regelgeving. “In Nederland, maar ook in Luxemburg, zien we dat de overheid de deur op een kier heeft gezet voor de publieke sector om de cloud te omarmen, zij het met bepaalde voorwaarden. Toch denk ik dat het slechts een kwestie van tijd is voordat alle soorten organisaties, in alle sectoren en in alle landen, de overstap maken.”

Dit alles raakt de verschuiving van security naar risicomanagement, en de rol van de CIO hierin. “Dit is een enorme kans voor security. De afgelopen decennia werd security vaak bekeken als beperkend voor de business. En een CIO wil het maximale aan de business kunnen bieden, om succesvoller te zijn, sneller te kunnen schakelen en efficiënter te zijn dan de concurrentie. Als hij dat kan doen door bewust risico's te nemen, dan versterkt dat zijn positie. Als wij vanuit security kunnen aantonen dat bepaalde zaken mogelijk zijn zonder dat de bedrijfsvoering in gevaar komt, dan zetten we de CIO in zijn kracht.”

Evolutie
“Waar wij vooral op inzetten is het proactiever maken van security. We willen de CIO helpen om in de volledige bedrijfsomgeving te kunnen zeggen: ‘Dit zijn de risico's die wij zien’. Dat is risicomanagement. We laten stappen zetten, omdat we continu het risico afwegen en zeggen: ‘Dit zien we als mogelijk risico, daar moet je op anticiperen’.”

“Bedrijven gaan tactisch risicomanagement combineren met het proactiever maken van security, waarmee je security in een positie brengt waarin het risicomanagement rapportages gaat doen van de bedrijfsomgeving. Dat vind ik een mooie evolutie, omdat het de mogelijkheid voor de CIO versterkt om aan te tonen dat hij de risico’s onder controle heeft.”

Auteur: Marco van der Hoeven