De CISO: het schaap met de vijf poten?


Het aanstellen van een CISO is een randvoorwaarde bij het vergroten van de informatieveiligheid binnen je gemeente. De CISO is dé spin in het web als het gaat om de beveiliging van informatie en heeft een centrale rol in het beheren van alle processen die daarmee te maken hebben. Maar de rol van CISO gaat verder dan dat. Naast technische vaardigheden moet je ook in het bezit zijn van een portie organisatorische skills. Maar omdat het nog een relatief

nieuwe functie is die volop in ontwikkeling is, is vaak nog onduidelijk wat nou precies het functieprofiel van een CISO en de juiste positionering in de organisatie is. Want welke kernkwaliteiten en vaardigheden moet een goede CISO hebben? En hoe verhouden die kwaliteiten zich tot elkaar?

Praktijkkennis niet van belang in Tweede Kamer

Aanleiding voor deze blog is het artikel in de Volkskrant over het vertrek van PvdA-Kamerlid Astrid Oosenbrug. Als een van de weinigen bracht zij, in plaats van een hoge opleiding, een hoop praktijkkennis over ICT met zich mee naar Den Haag. Maar ondanks haar technische achtergrond, heeft ze het gevoel dat ze niet serieus wordt genomen. In de loop van haar carrière is ze er meerdere malen op gewezen dat ze niet teveel op de inhoud moet zitten, omdat ze dan te ‘wijsneuzerig’ overkomt. De afgelopen maanden was Oosenbrug regelmatig in het nieuws omtrent de beveiliging van overheidswebsites. Oosenbrug heeft Plasterk eindeloos geprobeerd te overtuigen van de urgentie daarvan, totdat hij besloot er daadwerkelijk iets aan te doen. Vervolgens gaat hij er nu met de eer vandoor.. want zoals de media schrijft: “Plasterk regelt beveiliging overheidswebsites”. Dat voelde oneerlijk voor Van Oosenbrug. Volgens haar draait het in Den Haag vooral om hoe je in de media komt. En oprechtheid is daarbij niet altijd een handige kwaliteit.

Wat het artikel over van Oosenbrug ons kan leren, is dat je technische achtergrond goed van pas kan komen in dergelijke functies, maar wel onder een aantal voorwaarden:

  1. Je moet je (technische) kennis niet teveel etaleren.
  2. Je moet weten wanneer je ergens ‘in mee’ moet gaan, ofwel ‘keep your eyes on the price’.
  3. 3. Je moet kunnen accepteren dat iemand anders er met de eer van jouw werk vandoor kan gaan.

Terug naar het functieprofiel van de CISO. Want hoe vul je deze functie in, zodat de CISO zijn of haar werk goed kan doen?

Gezocht: het schaap met de vijf poten

Het vakgebied van de CISO is nog niet vastomlijnd en verschilt per branche of organisatie. Om taken en verantwoordelijkheden inzichtelijk te krijgen heeft de IBD de handreiking ‘IB-Functieprofiel CISO’ opgesteld. Hierin worden de kenmerken van een goede CISO beschreven. Naar mijn mening een functieprofiel voor het schaap met de vijf poten. De functie omvat namelijk vier verschillende resultaatgebieden, te weten: Beleid & Coördinatie, Controle & Registratie, Communicatie & Voorlichting en Advies & Rapportage. Dit betekent dat een CISO zowel in staat moet zijn om een beleid op te stellen als uit te voeren, maar ook in staat moet zijn dit beleid te toetsen/controleren. Daarnaast dient hij dit naar de rest van de organisatie te kunnen communiceren, heeft hij zelf veel kennis over informatieveiligheid nodig, en waar de eigen kennis onvoldoende is, dient hij te weten wie deze kennis wel heeft. Kortom, je moet flink wat competenties beheersen om dit allemaal te kunnen.

Technisch vs. organisatorisch

Zoals de IBD ook beschrijft in haar handreiking, is de CISO binnen een gemeente vaak ingedeeld in een technische of een meer organisatorische functie. Waarbij het doel van de meer technisch gerichte functie is om, met de bijbehorende specialistische kennis en kunde, het beveiligingsrisico met behulp van nieuwe technologieën op een aanvaardbaar niveau te brengen. Deze functie heeft een rol bij enerzijds de ontwikkeling van nieuwe projecten/systemen, en anderzijds het onderhoud en beheer van bestaande systemen. De meer organisatorische functie daarentegen heeft als belangrijkste doel om binnen de gemeente de implementatie van informatiebeveiliging en daarbij horende organisatorische maatregelen te initiëren en te beheersen. Dit dient zodanig te gebeuren dat de technische beveiligingsmaatregelen ook daadwerkelijk effectief zijn.

Positionering CISO

Daarnaast dien je rekening te houden met de positionering van de CISO-functie binnen de gemeente en het daar bijhorende salaris. Momenteel bestaat er binnen gebruikte functiewaarderingsmethoden (nog) geen CISO-functie en ook geen functie die daarbij in de buurt komt. Het bijhorend salaris blijkt daarom in de praktijk veelal afhankelijk te zijn van de huidige functie waaraan de taak van de CISO wordt toebedeeld. Daarbij kan het bijvoorbeeld gaan om functies als: beleidsmedewerker, stafmedewerker of informatiemanager. Tevens heeft de functie waaraan de taak van de CISO wordt toebedeeld weer invloed op de plaats van de CISO-functie in de gemeente. En die positie binnen de gemeente is deels weer bepalend voor het welslagen van de functie. Idealiter rapporteert de CISO rechtstreeks aan het management. Zij zijn namelijk eindverantwoordelijk voor de interne beheersing en dus ook de informatiebeveiliging. De CISO zou dus een onafhankelijke positie moeten hebben. In praktijk zijn CISO’s vaak in de lijn gepositioneerd, waardoor er nog een aantal lagen tussen zit. Dit maakt de positie van de CISO lastig, de CISO wilt zijn/haar leidinggevende namelijk niet passeren en is daardoor niet onafhankelijk.

In de praktijk

Veel gemeenten hebben hierdoor moeite met het invullen van de CISO-functie. Er is dus veel vraag, maar anderzijds is er weinig aanbod. Want waarom zou je als goed gekwalificeerde CISO bij een gemeente gaan werken? Tegenover de waslijst aan benodigde kwaliteiten en vaardigheden staat namelijk maar een relatief mager salaris in vergelijking met het bedrijfsleven. Die bieden doorgaans een hoger salaris en daarnaast werk je daar in een team in plaats van dat je meerdere rollen zelf dient te vervullen. Denk hierbij aan die van de Privacy Officer/Functionaris Gegevensbescherming, een combinatie waar ik zelf overigens geen voorstander van ben.

Conclusie? Als goede CISO moet je zorgen voor de samenhang tussen zowel de technische als de organisatorische maatregelen. Waarbij ik, uitgaande van een volwassen afdeling Informatisering & Automatisering (I&A) en een gemeente van 50.000 inwoners en meer, opteer voor een meer ‘organisatorische CISO’, zodat je op de juiste wijze kunt omgaan met situaties zoals waar Oosenbrug mee moe(s)t omgaan. Dus wel technische kennis opdoen, maar deze grotendeels voor jezelf houden en (alleen) inzetten in gesprekken met techneuten, maar zeker niet richting bestuurders. Wat vind jij?

Renco Schoemaker
Recente berichten van Renco Schoemaker (bekijk alles)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Een erbarmelijke evaluatie

Het rapport ‘Evaluatie en versterking ENSIA-stelsel’ is vrij geruisloos gepubliceerd op de website Digitale Overheid. Renco Schoemaker vindt de kwaliteit van het evaluatierapport onder de maat. In deze blog lees waarom!

Je medewerkers ‘beveiligen’; hoe doe je dat?

In de Baseline Informatiebeveiliging Overheid (BIO) worden eisen benoemd als het gaat om personele beveiliging (hoofdstuk 7). In deze blog lees je hoe je kunt zorgen voor een veilige instroom, doorstroom en uitstroom van medewerkers.

ENSIA: méér dan de C in PDCA?

Lokale overheden leggen middels de ENSIA-systematiek jaarlijks verantwoording af over informatiebeveiliging. M.i.v. dit jaar gaat dit grotendeels langs de lat van de BIO. ENSIA wordt in de praktijk gemakkelijk gereduceerd tot een verplichte, jaarl…

In vijf stappen een goed informatiebeveiligingsbeleid

De allereerste maatregel uit de BIO, en ook gelijk de belangrijkste, is het hebben van een informatiebeveiligingsbeleid. In deze blog de vijf stappen naar een goed informatiebeveiligingsbeleid en dito implementatie.

Rechten van betrokkenen toepassen

Laatst was ik bij een gemeente die de inwoner een verzoek in het kader van dataportabiliteit liet indienen bij een verhuizing naar een andere gemeente, om het dossier rond de bijstandsuitkering bij de nieuwe gemeente te krijgen. Punten voor de cre…

Tips voor het beveiligen van Office 365

Eind april actualiseerde het Amerikaans ‘Cybersecurity & Infrastructure Security Agency’ (CISA) haar beveiligingsadvies voor Microsoft Office 365. Dat is relevante informatie omdat veel gemeenten momenteel, al dan niet versneld n.a.v. de noodzaak …