While many researchers have investigated soft skills for different roles related to business, engineering, healthcare and others, the soft skills needed by the chief information security officer (CISO) in a leadership position are not studied in-depth. This paper describes a first study aimed at filling this gap. In this multimethod research, both the business leaders perspective as well as an analysis of CISO job ads is studied. The methodology used to capture the business leaders perspective is via a Delphi study and the jobs adds are studied using a quantitative content analysis. With an increasing threat to information security for companies, the CISO role is moving from a technical role to an executive role. This executive function is responsible for information security across all layers of an organisation. To ensure compliance with the security policy among different groups within the company, such as employees, the board, and the IT department, the CISO must be able to adopt different postures. Soft skills are thus required to be able to assume this leadership role in the organisation. We found that when business leaders were asked about the most important soft skills the top three consisted out of 'communication', ‘leadership’ and 'interpersonal' skills while 'courtesy' was last on the list for a CISO leadership role.
MULTIFILE
Aanleiding Gemeenten zijn in hoge mate afhankelijk van digitale systemen. Als deze systemen onbedoeld uitvallen of aangevallen worden, kan dit grote gevolgen hebben voor de dienstverlening aan burgers en/of de interne bedrijfsvoering. Recente gevallen zoals de aanvallen op de gemeente Lochem (2019) en Hof van Twente (2020), en de Citrix-kwetsbaarheid (2019) hebben duidelijk gemaakt dat cyberincidenten grote impact kunnen hebben, niet te voorkomen zijn en zelfs kunnen uitmonden in een cybercrisis. Gemeenten moeten zich voorbereiden op cybercrises waarbij zij zelf het slachtoffer zijn. Daarnaast kunnen gemeenten geconfronteerd worden met de fysieke gevolgen die ontstaan wanneer een organisatie gevestigd in de gemeente getroffen wordt door een cyberaanval. Denk hierbij aan een ziekenhuis dat door een aanval haar ICT niet meer kan gebruiken en daardoor de deuren moet sluiten. In een dergelijk geval zijn gemeenten betrokkenen en zullen zij samen met de veiligheidsregio(‘s) moeten acteren om de problemen in het fysieke domein aan te pakken. In dit verkennende onderzoek gaan we nader in op het fenomeen cybercrisis binnen gemeenten waarbij we onderscheid maken tussen cybercrisis waarbij gemeenten (1) slachtoffer zijn of (2) betrokkene. Onderzoeksdoelen en vragen Cybercrises in het algemeen en binnen de gemeentelijke context in het bijzonder zijn nog maar beperkt beschreven in de (wetenschappelijke) literatuur. Het hoofddoel van het onderzoek is om inzicht te verschaffen in de ervaringen die gemeentelijke medewerkers hebben met cybercrisis als ‘slachtoffer’ en ‘betrokkene’ en hoe zij kijken naar de rollen en uitdagingen die er zijn. Het hoofddoel is opgesplitst in twee hoofdvragen: (1) Welke uitdagingen ervaren gemeenten bij (de voorbereiding op) cybercrisis die de gemeentelijke organisatie raken? En (2) Welke uitdagingen ervaren gemeenten bij (de voorbereiding op) cybercrisis die plaatsvinden bij organisaties gevestigd in de gemeente en (kunnen) leiden tot problemen in het fysieke domein? Methoden van onderzoek Er is een literatuurstudie uitgevoerd die als basis heeft gediend voor semigestructureerde interviews. In de periode van 1 juli tot 1 december 2020 hebben 22 interviews plaatsgevonden met medewerkers van 18 verschillende gemeenten. Het merendeel van respondenten was werkzaam als Chief Information Security Officer (CISO) (N = 15), Adviseur Openbare orde en Veiligheid (AOV) (N = 9) en Adviseur informatiebeveiliging (N = 6). Beantwoording hoofdvragen De grootste uitdagingen voor gemeenten bij (de voorbereiding op) cybercrisis die de gemeentelijke organisatie raken zijn: (1) tijdens de warme fase verwacht men van de CISO soms een leidinggevende rol in plaats van de dagelijkse adviserende rol, (2) informatie gaat veelal sneller via informele kanalen dan via de formele kanalen, (3) CISOs gebruiken de crisiskennis van AOV-ers onvoldoende (4) (voorbereiding op) cybercrisis is nog te veel een IT-feestje, (5) oefenen is belangrijk maar gebeurt nog te weinig, en (6) kleine gemeenten hebben geen draaiboeken of crisisplannen, grote gemeenten wel. Gemeenten hebben nauwelijks ervaring met cybercrises die de gemeentelijke organisatie raken. De grootste uitdagingen voor gemeenten bij (de voorbereiding op) cybercrisis die plaatsvinden bij organisaties gevestigd in de gemeente zijn: (1) er is binnen gemeenten en veiligheidsregio’s weinig cyber-expertise en kennis van de CISO wordt niet benut, (2) gemeenten worstelen met hun rol bij een dergelijke crisissituatie, (3) de rolverdeling tussen de gemeente en veiligheidsregio is onduidelijk bij een dergelijke crisissituatie, en (4) gemeenten vinden dat organisaties allereerst zelf verantwoordelijk zijn voor respons en mitigatie. Geen van de respondenten heeft ervaring opgedaan met een cybercrisis bij een organisatie gevestigd in de gemeente. Conclusie De eerste conclusie is dat gemeenten beperkt voorbereid zijn op cybercrisis en onvoldoende zicht hebben in hoeverre bestaande plannen en niet-geformaliseerde werkwijzen voldoende zijn om de impact van cybercrisis te kunnen beperken, mede omdat er niet wordt geoefend. De tweede conclusie is dat nog een wereld te winnen is bij een actievere samenwerking tussen CISOs en AOV-ers. De derde conclusie is dat deelnemende gemeenten nog geen ervaring hebben met cybercrisis waarbij ze enkel ‘betrokkene’ zijn. De belangrijkste theoretische bijdrage is dat we geen aanwijzingen hebben gevonden dat de generieke literatuur over crisisbeheersing niet van toepassing zou kunnen zijn op cybercrisis. Dit onderzoek is uitgevoerd onder een beperkt aantal gemeenten. Om een rijker en completer beeld te krijgen van cybercrisis bij gemeenten, adviseren we om een vervolgonderzoek uit te zetten bij meer gemeenten, bijvoorbeeld in de vorm van een vragenlijstonderzoek. Ander vervolgonderzoek zou zich kunnen richten op het meten van de mate van voorbereiding van gemeenten op cybercrisis, slimme manieren waarop gemeenten hun voorbereiding kunnen verbeteren en op cyberincident- en cybercrisisevaluaties.
DOCUMENT
This study addresses the role of a Dutch chief information security officer (CISO) and the soft skills required in this leadership role. The overview of soft skills is the outcome of the CISO perspectives in a Delphi study combined with an analysis of soft skills mentioned in job ads. A comparison with an earlier US-based study revealed that soft skills are ranked differently by Dutch CISOs. Moreover, we found that soft skills are not clearly described in job ads – none of these ads had explicitly listed soft skills. The present study demonstrates that CISOs with soft skills are in demand. The development of soft skills starts at a young age through various social activities and is also the result of self-actuation. The practical implications of this study are that it offers insights into the soft skills required for the role and discusses best-fitting leadership styles and ways in which organisations should include soft skills in recruitment.
LINK
Het senior management op C-niveau stelt steeds vaker een CISO (Chief Information Security Officer) aan welke plaats neemt in het management team of hier rechtstreeks aan rapporteert. Maar de CISO is vaak een persoon met een bèta achtergrond. Vaktechnisch inhoudelijk zijn deze personen vaak zeer bekwaam maar missen veelal de juiste skills om zich staande te kunnen houden op managementniveau. Dit onderzoek richt zich op de doorlopende evolutie van CISO leidershap en benodigde skills om successvol te woren en blijven.
Gemeenten zijn ongerust over de cyberweerbaarheid van hun vitale infrastructuren, zoals waterbeheer en verkeersmanagement. Deze infrastructuren zijn vaak in hoge mate geautomatiseerd en verbonden met het internet. De digitale systemen binnen de infrastructuren worden aangeduid als Operationele Technologie (OT). Er is een toenemende dreiging van cyberaanvallen op de OT van vitale infrastructuren, met potentieel ernstige gevolgen, zoals grote materiële schade, maatschappelijke onrust en zelfs dodelijke slachtoffers. Hierbij gaat het niet alleen om cyberaanvallen door vandalen of criminelen, zoals ransomware, maar ook om cyberaanvallen ten gevolge van internationale conflicten. De gemeentelijke CISO’s en informatiebeveiligers zijn verantwoordelijk voor het treffen van goede beveiligingsmaatregelen. Met betrekking tot OT hebben zij echter te weinig kennis om dat effectief te kunnen doen. Cyberweerbaarheid van OT vergt specialistische kennis, die sterk verschilt van de gebruikelijke IT-kennis binnen kantoorautomatisering. Bovendien wordt de cyberweerbaarheid van de OT negatief beïnvloed door een grote diversiteit in technologie, spreiding en afhankelijkheid van een grote hoeveelheid externe leveranciers en dienstverleners. Deze problematiek speelt ook bij andere organisaties, met name omdat hiervoor nog geen geschikte oplossingen beschikbaar zijn. Dit RAAK-project beoogt met behulp van gemeentelijke casestudy’s oplossingen te zoeken. Mogelijke oplossingsrichtingen worden onderzocht en geëvalueerd. Enkele kansrijke oplossingsrichtingen worden met de gemeenten uitgewerkt in aanpassing van bestaande- en nieuw te ontwikkelen instrumenten voor interventies. Deze worden geëvalueerd en gegeneraliseerd. Drie cybersecuritylectoraten van De Haagse Hogeschool (CSS en NSE) en Hogeschool Utrecht (CS) werken in dit praktijkgerichte onderzoek samen met de gemeenten Eindhoven, Rotterdam en Zoetermeer, alsook met de Vereniging van Nederlandse Gemeenten (VNG) en de Informatiebeveiligingsdienst (IBD). Daarnaast nemen het nationaal veiligheidscluster Security Delta, kennisinstelling TNO en cyberexpertbureau Hudson Cybertec deel. Verankering van kennis vindt plaats in onderwijs en lectoraten. Hierbij zijn drie lectoren, vijftien (docent)onderzoekers en circa tweehonderdvijfentwintig studenten betrokken.
De wijkverpleging staat voor grote uitdagingen. Meer ouderen met gezondheidsproblemen wonen tot hoge leeftijd thuis. Toch is er weinig bekend over welke uitkomsten belangrijk zijn in de wijkverpleging en hoe deze gebruikt kunnen worden voor leren en verbeteren.
