Stelt u voor: een brug die aan de ene kant van beton is gemaakt en aan de andere kant van glasvezel. Klinkt onmogelijk? Dat is wel de realiteit voor CISO’s die te maken hebben met zowel IT (Informatie Technologie) en OT (Operationele Technologie).
In dit artikel gaan we een stap verder, en kijken naar de vraag: wat kan de CISO doen om deze twee werelden dichter bij elkaar te brengen? Hiervoor spraken we met Merijn Carmiggelt, corporate security officer & principal security consultant bij ICT TriOpSys. Vanuit zijn rol, spreekt hij dagelijks met CISO’s en bedrijfs directies over de IT/OT-integratie.
Merijn modereert een roundtable over IT/OT integratie in het (semi-)publieke domein op 28 november in Nieuwegein. Bent u geïntereseerd in dit onderwerp? Meld u dan hier aan voor de roundtable en lunch.
De uitdagingen van IT/OT integratie
Er is al veel gezegd over de uitdagingen en verschillen tussen deze twee gebieden, we beschreven ze al eerder. Toch is het belangrijk om ze kort te benoemen, want IT en OT zijn twee domeinen met fundamentele verschillen. Behalve dat ze deel uitmaken van andere teams, is de ontwikkeling in OT langzamer en hebben ze compleet andere prioriteiten en belangen.
Merijn vat het samen: “In het OT-domein draait alles om bedrijfscontinuïteit (en safety). Het belangrijkste daar is dat systemen niet mogen uitvallen. Het IT-domein daarentegen richt zich meer op datavertrouwelijkheid en -integriteit. Dit leidt tot verschillende invalshoeken en belangen in de twee domeinen.”
Deze verschillen manifesteren zich in diverse aspecten, van de snelheid van systeemvernieuwing tot de prioriteiten in beveiliging. Waar IT-systemen regelmatig worden vernieuwd, kunnen OT-systemen decennia meegaan. Daarbij heeft OT een fysieke kant, waardoor IT-systemen en -security niet één op één gekopieerd kunnen worden naar OT.
De rol van de CISO voor successvolle IT/OT integraties
Organisaties hebben verschillende mogelijkheden om deze integratie aan te pakken. Merijn licht toe: "Ik heb een voorbeeld van een organisatie waar ze specifiek een CISO voor het OT-domein hebben. Dus je hebt een CISO voor IT en een CISO voor de OT.” Dit is één mogelijke aanpak, maar niet elke organisatie heeft de luxe om meerdere CISO's aan te stellen. Wat kunnen CISO's doen als ze verantwoordelijk zijn voor beide domeinen?
De CISO als bruggenbouwer
De eerste cruciale rol van de CISO is die van bruggenbouwer. Het gaat hier om het creëren van wederzijds begrip tussen IT- en OT-teams en het bevorderen van samenwerking.
Merijn benadrukt: "De CISO moet zich inzetten voor het bevorderen van samenwerking tussen de IT- en OT-teams; daar moet de CISO voor staan. Mijn aanbeveling is om te beginnen met het definiëren van gezamenlijke doelen. Dat is naar mijn mening een belangrijke eerste stap in dit proces."
Met zo’n gezamenlijke stip op de horizon, hebben beide teams richting. Daarnaast creëer je een multidisciplinair team onder de CISO, met gezamenlijke KPI’s. Het duidelijk definiëren van de bijdragen van verschillende teamleden zorgt voor helderheid in verantwoordelijkheden.
De CISO als kennismakelaar
Naast het bouwen van bruggen, moet de CISO ook optreden als kennismakelaar. Dit betekent het actief faciliteren van kennisdeling tussen IT- en OT-teams, wat essentieel is voor het versterken van wederzijds begrip.
Merijn adviseert: "Zorg dat de teams ook regelmatig bij elkaar zitten en een inkijkje geven in elkaars keuken, waar aan gewerkt wordt, wat de belangen zijn. Want het onbekende maakt onbemind. Maar als je kennis hebt van elkaars domein en de belangen, dan begrijp je ook waarom sommige keuzes worden gemaakt."
CISO’s kunnen putten uit verschillende aanpakken om de IT- en OT-teams dichter bij elkaar te brengen. Het werk als bruggenbouwer en kennismakelaar lopen daarbij niet ver uit elkaar. Opties zijn:
- Het organiseren van cross-domain trainingen om elkaars expertise te leren waarderen.
- Het opzetten van een mentorprogramma tussen IT- en OT-professionals om diepgaande kennisuitwisseling te bevorderen.
- Het stimuleren van jobrotatie tussen de twee domeinen om hands-on ervaring op te doen in elkaars werkveld.
- Het faciliteren van regelmatige sessies waarin teams hun bijdragen aan het gezamenlijke doel en de strategische visie kunnen presenteren en bespreken.
Onderschat ook niet het belang van de koffiemachine op de gang of in de gezamenlijke keuken waar teams samenkomen en op een ongedwongen manier bij kunnen praten. Als het gaat om IT en OT, is het wel zo dat de teams fysiek niet altijd bij elkaar in de buurt zijn. Het is dus geen slecht idee om zulke situaties af te dingen. Op deze manier kan de CISO ervoor zorgen dat IT- en OT-teams niet alleen naast elkaar werken, maar ook van elkaar leren en elkaars sterke punten benutten om gezamenlijke doelen te bereiken.
Het belang van de ‘buy-in’ van de directie
Wat zijn de organisaties die het beste slagen in de IT/OT integratie? Over dit laatste punt merkt Merijn op: "Het draait vooral om een top-down benadering, waarbij de CISO een heldere visie en duidelijke doelstellingen formuleert. Dit zet de toon voor de hele organisatie. De CISO moet deze visie ook op het hoogste niveau kunnen uitdragen, bij de 'grote tafel' zoals we dat zeggen. Daarnaast is de directe betrokkenheid van de CISO cruciaal. Het gaat er niet om alle taken bij de teams neer te leggen, maar juist om sterk leiderschap en persoonlijke betrokkenheid van de CISO."
In zijn rol, geeft Merijn dan ook veel trainingen aan directie-leden. Aan de ene kant schrijft NIS2 voor dat zij verantwoordelijk zijn voor de cyber weerbaarheid van het bedrijf, aan de andere kant is het dus ook een ontzettend belangrijke plek om te beginnen. Een CISO kan spreken als Brugman, als de directieleden andere prioriteiten vooropstellen en security-adviezen in de wind slaan, dan valt er voor een CISO weinig te bewerkstelligen.
Voor de CISO is het dus belangrijk om een balans te zoeken tussen die twee werelden: de directie meekrijgen, maar ook de directe verantwoordelijken. Hij voegt hieraan toe: "De CISO is iemand die zich voortdurend bezig moet houden met deze kwesties, die nauw samenwerkt met de teams, die relevante thema's aan de orde stelt. Maar moet voorkomen om te diep betrokken te worden bij de dagelijkse operatie."
Conclusie
De CISO speelt een cruciale rol in de IT/OT integratie als bruggenbouwer en kennismakelaar. Deze uitdagende taak vereist een combinatie van technische expertise, communicatieve vaardigheden en leiderschap. Door proactief te handelen, kan de CISO niet alleen IT en OT samenbrengen, maar ook de organisatie als geheel versterken. In een steeds meer geïntegreerde digitale en fysieke wereld is deze rol van de CISO essentiëler dan ooit.
Leer van andere IT/OT integraties op 28 oktober
Ontdek onder leiding van Merijn Carmiggelt hoe NCSC, NS en andere organiaties werken aan hun IT/OT integratie. Kom op 28 november naar Green Village in Nieuwegein. Inclusief lunch. Reserveer nu uw plaats.