De CISO: het schaap met de vijf poten?


Het aanstellen van een CISO is een randvoorwaarde bij het vergroten van de informatieveiligheid binnen je gemeente. De CISO is dé spin in het web als het gaat om de beveiliging van informatie en heeft een centrale rol in het beheren van alle processen die daarmee te maken hebben. Maar de rol van CISO gaat verder dan dat. Naast technische vaardigheden moet je ook in het bezit zijn van een portie organisatorische skills. Maar omdat het nog een relatief

nieuwe functie is die volop in ontwikkeling is, is vaak nog onduidelijk wat nou precies het functieprofiel van een CISO en de juiste positionering in de organisatie is. Want welke kernkwaliteiten en vaardigheden moet een goede CISO hebben? En hoe verhouden die kwaliteiten zich tot elkaar?

Praktijkkennis niet van belang in Tweede Kamer

Aanleiding voor deze blog is het artikel in de Volkskrant over het vertrek van PvdA-Kamerlid Astrid Oosenbrug. Als een van de weinigen bracht zij, in plaats van een hoge opleiding, een hoop praktijkkennis over ICT met zich mee naar Den Haag. Maar ondanks haar technische achtergrond, heeft ze het gevoel dat ze niet serieus wordt genomen. In de loop van haar carrière is ze er meerdere malen op gewezen dat ze niet teveel op de inhoud moet zitten, omdat ze dan te ‘wijsneuzerig’ overkomt. De afgelopen maanden was Oosenbrug regelmatig in het nieuws omtrent de beveiliging van overheidswebsites. Oosenbrug heeft Plasterk eindeloos geprobeerd te overtuigen van de urgentie daarvan, totdat hij besloot er daadwerkelijk iets aan te doen. Vervolgens gaat hij er nu met de eer vandoor.. want zoals de media schrijft: “Plasterk regelt beveiliging overheidswebsites”. Dat voelde oneerlijk voor Van Oosenbrug. Volgens haar draait het in Den Haag vooral om hoe je in de media komt. En oprechtheid is daarbij niet altijd een handige kwaliteit.

Wat het artikel over van Oosenbrug ons kan leren, is dat je technische achtergrond goed van pas kan komen in dergelijke functies, maar wel onder een aantal voorwaarden:

  1. Je moet je (technische) kennis niet teveel etaleren.
  2. Je moet weten wanneer je ergens ‘in mee’ moet gaan, ofwel ‘keep your eyes on the price’.
  3. 3. Je moet kunnen accepteren dat iemand anders er met de eer van jouw werk vandoor kan gaan.

Terug naar het functieprofiel van de CISO. Want hoe vul je deze functie in, zodat de CISO zijn of haar werk goed kan doen?

Gezocht: het schaap met de vijf poten

Het vakgebied van de CISO is nog niet vastomlijnd en verschilt per branche of organisatie. Om taken en verantwoordelijkheden inzichtelijk te krijgen heeft de IBD de handreiking ‘IB-Functieprofiel CISO’ opgesteld. Hierin worden de kenmerken van een goede CISO beschreven. Naar mijn mening een functieprofiel voor het schaap met de vijf poten. De functie omvat namelijk vier verschillende resultaatgebieden, te weten: Beleid & Coördinatie, Controle & Registratie, Communicatie & Voorlichting en Advies & Rapportage. Dit betekent dat een CISO zowel in staat moet zijn om een beleid op te stellen als uit te voeren, maar ook in staat moet zijn dit beleid te toetsen/controleren. Daarnaast dient hij dit naar de rest van de organisatie te kunnen communiceren, heeft hij zelf veel kennis over informatieveiligheid nodig, en waar de eigen kennis onvoldoende is, dient hij te weten wie deze kennis wel heeft. Kortom, je moet flink wat competenties beheersen om dit allemaal te kunnen.

Technisch vs. organisatorisch

Zoals de IBD ook beschrijft in haar handreiking, is de CISO binnen een gemeente vaak ingedeeld in een technische of een meer organisatorische functie. Waarbij het doel van de meer technisch gerichte functie is om, met de bijbehorende specialistische kennis en kunde, het beveiligingsrisico met behulp van nieuwe technologieën op een aanvaardbaar niveau te brengen. Deze functie heeft een rol bij enerzijds de ontwikkeling van nieuwe projecten/systemen, en anderzijds het onderhoud en beheer van bestaande systemen. De meer organisatorische functie daarentegen heeft als belangrijkste doel om binnen de gemeente de implementatie van informatiebeveiliging en daarbij horende organisatorische maatregelen te initiëren en te beheersen. Dit dient zodanig te gebeuren dat de technische beveiligingsmaatregelen ook daadwerkelijk effectief zijn.

Positionering CISO

Daarnaast dien je rekening te houden met de positionering van de CISO-functie binnen de gemeente en het daar bijhorende salaris. Momenteel bestaat er binnen gebruikte functiewaarderingsmethoden (nog) geen CISO-functie en ook geen functie die daarbij in de buurt komt. Het bijhorend salaris blijkt daarom in de praktijk veelal afhankelijk te zijn van de huidige functie waaraan de taak van de CISO wordt toebedeeld. Daarbij kan het bijvoorbeeld gaan om functies als: beleidsmedewerker, stafmedewerker of informatiemanager. Tevens heeft de functie waaraan de taak van de CISO wordt toebedeeld weer invloed op de plaats van de CISO-functie in de gemeente. En die positie binnen de gemeente is deels weer bepalend voor het welslagen van de functie. Idealiter rapporteert de CISO rechtstreeks aan het management. Zij zijn namelijk eindverantwoordelijk voor de interne beheersing en dus ook de informatiebeveiliging. De CISO zou dus een onafhankelijke positie moeten hebben. In praktijk zijn CISO’s vaak in de lijn gepositioneerd, waardoor er nog een aantal lagen tussen zit. Dit maakt de positie van de CISO lastig, de CISO wilt zijn/haar leidinggevende namelijk niet passeren en is daardoor niet onafhankelijk.

In de praktijk

Veel gemeenten hebben hierdoor moeite met het invullen van de CISO-functie. Er is dus veel vraag, maar anderzijds is er weinig aanbod. Want waarom zou je als goed gekwalificeerde CISO bij een gemeente gaan werken? Tegenover de waslijst aan benodigde kwaliteiten en vaardigheden staat namelijk maar een relatief mager salaris in vergelijking met het bedrijfsleven. Die bieden doorgaans een hoger salaris en daarnaast werk je daar in een team in plaats van dat je meerdere rollen zelf dient te vervullen. Denk hierbij aan die van de Privacy Officer/Functionaris Gegevensbescherming, een combinatie waar ik zelf overigens geen voorstander van ben.

Conclusie? Als goede CISO moet je zorgen voor de samenhang tussen zowel de technische als de organisatorische maatregelen. Waarbij ik, uitgaande van een volwassen afdeling Informatisering & Automatisering (I&A) en een gemeente van 50.000 inwoners en meer, opteer voor een meer ‘organisatorische CISO’, zodat je op de juiste wijze kunt omgaan met situaties zoals waar Oosenbrug mee moe(s)t omgaan. Dus wel technische kennis opdoen, maar deze grotendeels voor jezelf houden en (alleen) inzetten in gesprekken met techneuten, maar zeker niet richting bestuurders. Wat vind jij?

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Om een in-house cursus in te plannen, neem contact met ons op!

Meer blogs lezen

Wat zijn mijn plichten als verwerkingsverantwoordelijke?

Als gemeente ben je in veel gevallen verwerkingsverantwoordelijke voor de persoonsgegevens die je verwerkt. Wanneer je verwerkersverantwoordelijke bent, horen hier een aantal plichten bij. Welke dit zijn, lees je in deze blog.

Wachtwoorden beheren? Gebruik een wachtwoordmanager!

De BIO schrijft voor dat gemeenten een wachtwoordmanager beschikbaar moeten stellen aan hun medewerkers. Maar wat is een wachtwoordmanager nu precies? Wat zijn de voordelen? En hoe veilig zijn ze? Je leest het in deze blog!

Rechten van betrokkenen binnen een gemeentelijke context

Als burger heb je verschillende rechten om controle te houden over je persoonsgegevens – ook wel rechten van betrokkenen genoemd. Maar met welke rechten krijg je als gemeente in de praktijk echt te maken?

CISO versus ISO, wie doet wat?

Binnen de gemeente hebben we de (verplichte) CISO en/of ISO. Maar welke taken horen er nu eigenlijk bij de CISO te liggen en wat zou de ISO moeten doen? Kortom, hoe verhouden deze functies zich tot elkaar en wat zijn de verschillen?

Help! Een dataclassificatie, DPIA en een BIA?!

Vanuit de AVG en BIO zijn er diverse (verplichte) maatregelen waarmee je als gemeente in kaart brengt wat je relevante systemen zijn en/of data is en waar de risico’s liggen met betrekking tot het gebruik ervan, zoals een dataclassificatie, DPIA e…

Verantwoordelijkheden van de proceseigenaar binnen de BIO

Informatiebeveiliging is binnen de BIO een verantwoordelijkheid van de proceseigenaar. Maar waar ben je dan precies verantwoordelijk voor en wat houdt die verantwoordelijkheid in