Nu cloud computing op grote schaal omarmd wordt, begint ook meer en meer duidelijk te worden wat dat betekent voor de rol van de security officer. Met de komst van cloud computing verandert de rol van deze functionaris aanzienlijk.

Bedrijven ontdekken op grote schaal de voordelen van cloud computing. De voordelen van schaalbaarheid en kosteneffectiviteit lijken de fase van koudwatervrees te hebben verdrongen. Waar bedrijven aanvankelijk de kat uit de boom keken, zien we nu dat cloud computing een opmars maakt. Deze opmars zal voorlopig niet stoppen. Het is niet meer weg te denken uit het huidige IT-landschap.

De mate waarin ondernemingen het nut erkennen van een security officer hangt in hoge mate af van de wendbaarheid van deze functionaris. Het is dan ook tijd voor een herbezinning van het vakgebied en de rol van de security officer daarin. Alleen dan kan de security officer zinvol blijven bijdragen aan de beveiliging van de organisatie. Ook hier geldt het Darwin-principe dat de security professional die zich het best weet aan te passen aan de veranderende omgeving, de grootste kans heeft om te overleven.

De middelen die de security officer ter beschikking staan om zijn werk uit te voeren veranderen. Ook de taakstelling verandert en er zijn andere vaardigheden nodig.

Taakstelling

Als een organisatie de automatisering geheel zelf verzorgt, hebben security officers veelal twee rollen: In een adviserende rol helpen zij de (IT-)organisatie passende maatregelen te nemen om informatie assets te beschermen. Daarnaast controleert de security officer de beveiligingsmaatregelen die de (IT-)organisatie heeft genomen, beoordeelt of deze passend zijn en rapporteert hierover.

Als (delen van) de automatisering aan cloud-leveranciers zijn uitbesteed, dan is het adviseren van de eigen IT’ers over de mogelijk te nemen maatregelen niet meer nodig. Het controleren en beoordelen van de beveiligings­maatregelen wordt dan anders. Aanvullend zal een security officer nu met de leverancier in gesprek moeten gaan over de vraag welke beveiligings­maatregelen aanvullend nog nodig zijn. Ook moet worden onderhandeld over de prijs en de prioriteit van de gewenste wijziging.

Andere middelen

Met de komst van cloud veranderen ook de middelen die de security officer kan gebruiken om het werk te kunnen uitvoeren. In de meeste gevallen werkt een cloud-leverancier niet mee als een client zelf de werking van beveiligings­maatregelen wil toetsen.

Als klant van een cloud-leverancier zit er in dat soort situaties weinig anders op dan genoegen te nemen met hetgeen de cloud-leverancier rapporteert. Als bij de selectie van de cloud-aanbieder goede afspraken zijn gemaakt, kan de security officer zich baseren op certificeringen en audit-rapporten die worden geleverd. ISO27001, ISAE 3000 en SOC 2 zijn rapporten die klanten van cloud-leveranciers vaak vragen om te beoordelen of passende beveiligings­maatregelen zijn genomen.

Vaardigheden

Met de komst van cloud computing moet de security officer dus de vaardigheid ontwikkelen om certificaten en audit-rapporten te interpreteren. En omdat de afweging of aanvullende maatregelen moeten worden genomen complexer is geworden, moeten ook de analytische vaardigheden beter zijn ontwikkeld.

Meer dan voorheen is het van belang dat de security officer goede communica­tieve vaardigheden heeft, waarmee de juiste informatie boven water komt. Zo zijn gesprekstechnieken van essentieel belang om de werkelijke oorzaak en gevolgen voor de eigen organisatie van eventueel ontbrekende maatregelen vast te stellen.

Zodra duidelijk is welke additionele maatregelen gewenst zijn, moet de security officer kunnen onderhandelen om de eigen wijzigingen op de agenda van de leverancier van de cloud-oplossing te krijgen.

Conclusie

Door de opmars van cloud computing wordt het beoordelen van beveiligings­maatregelen voornamelijk gedaan op basis van informatie die de cloud-leverancier zelf aanlevert. Het is van belang dat de security officer weet wat nodig is om een juiste beoordeling te maken. Certificaten en audit-rapporten zijn daar – meer dan in traditionele IT – onderdeel van. De security officer moet deze weten te analyseren en inter­preteren. Op basis van deze bevindingen moet de security officer met de cloud-leverancier in contact treden over gewenste maatregelen. Daarbij kan onderhandelen over prioriteit en prijs een onderdeel van het werk worden.

Met de komst van cloud computing verandert de rol van de security officer dus aanzienlijk. Zorg ervoor dat information security een vakgebied blijft met toegevoegde waarde. Dat kan alleen als de security officer zelf ook meeverandert.


Dit artikel is geschreven door drs. Michel van der Burg CISSP CISA CIPP/E, directeur van Rood Risicobeheersing en verscheen eerder op https://www.infosecuritymagazine.nl/artikelen/de-nieuwe-rol-van-de-security-officer