De CISO: het schaap met de vijf poten?


Het aanstellen van een CISO is een randvoorwaarde bij het vergroten van de informatieveiligheid binnen je gemeente. De CISO is dé spin in het web als het gaat om de beveiliging van informatie en heeft een centrale rol in het beheren van alle processen die daarmee te maken hebben. Maar de rol van CISO gaat verder dan dat. Naast technische vaardigheden moet je ook in het bezit zijn van een portie organisatorische skills. Maar omdat het nog een relatief

nieuwe functie is die volop in ontwikkeling is, is vaak nog onduidelijk wat nou precies het functieprofiel van een CISO en de juiste positionering in de organisatie is. Want welke kernkwaliteiten en vaardigheden moet een goede CISO hebben? En hoe verhouden die kwaliteiten zich tot elkaar?

Praktijkkennis niet van belang in Tweede Kamer

Aanleiding voor deze blog is het artikel in de Volkskrant over het vertrek van PvdA-Kamerlid Astrid Oosenbrug. Als een van de weinigen bracht zij, in plaats van een hoge opleiding, een hoop praktijkkennis over ICT met zich mee naar Den Haag. Maar ondanks haar technische achtergrond, heeft ze het gevoel dat ze niet serieus wordt genomen. In de loop van haar carrière is ze er meerdere malen op gewezen dat ze niet teveel op de inhoud moet zitten, omdat ze dan te ‘wijsneuzerig’ overkomt. De afgelopen maanden was Oosenbrug regelmatig in het nieuws omtrent de beveiliging van overheidswebsites. Oosenbrug heeft Plasterk eindeloos geprobeerd te overtuigen van de urgentie daarvan, totdat hij besloot er daadwerkelijk iets aan te doen. Vervolgens gaat hij er nu met de eer vandoor.. want zoals de media schrijft: “Plasterk regelt beveiliging overheidswebsites”. Dat voelde oneerlijk voor Van Oosenbrug. Volgens haar draait het in Den Haag vooral om hoe je in de media komt. En oprechtheid is daarbij niet altijd een handige kwaliteit.

Wat het artikel over van Oosenbrug ons kan leren, is dat je technische achtergrond goed van pas kan komen in dergelijke functies, maar wel onder een aantal voorwaarden:

  1. Je moet je (technische) kennis niet teveel etaleren.
  2. Je moet weten wanneer je ergens ‘in mee’ moet gaan, ofwel ‘keep your eyes on the price’.
  3. 3. Je moet kunnen accepteren dat iemand anders er met de eer van jouw werk vandoor kan gaan.

Terug naar het functieprofiel van de CISO. Want hoe vul je deze functie in, zodat de CISO zijn of haar werk goed kan doen?

Gezocht: het schaap met de vijf poten

Het vakgebied van de CISO is nog niet vastomlijnd en verschilt per branche of organisatie. Om taken en verantwoordelijkheden inzichtelijk te krijgen heeft de IBD de handreiking ‘IB-Functieprofiel CISO’ opgesteld. Hierin worden de kenmerken van een goede CISO beschreven. Naar mijn mening een functieprofiel voor het schaap met de vijf poten. De functie omvat namelijk vier verschillende resultaatgebieden, te weten: Beleid & Coördinatie, Controle & Registratie, Communicatie & Voorlichting en Advies & Rapportage. Dit betekent dat een CISO zowel in staat moet zijn om een beleid op te stellen als uit te voeren, maar ook in staat moet zijn dit beleid te toetsen/controleren. Daarnaast dient hij dit naar de rest van de organisatie te kunnen communiceren, heeft hij zelf veel kennis over informatieveiligheid nodig, en waar de eigen kennis onvoldoende is, dient hij te weten wie deze kennis wel heeft. Kortom, je moet flink wat competenties beheersen om dit allemaal te kunnen.

Technisch vs. organisatorisch

Zoals de IBD ook beschrijft in haar handreiking, is de CISO binnen een gemeente vaak ingedeeld in een technische of een meer organisatorische functie. Waarbij het doel van de meer technisch gerichte functie is om, met de bijbehorende specialistische kennis en kunde, het beveiligingsrisico met behulp van nieuwe technologieën op een aanvaardbaar niveau te brengen. Deze functie heeft een rol bij enerzijds de ontwikkeling van nieuwe projecten/systemen, en anderzijds het onderhoud en beheer van bestaande systemen. De meer organisatorische functie daarentegen heeft als belangrijkste doel om binnen de gemeente de implementatie van informatiebeveiliging en daarbij horende organisatorische maatregelen te initiëren en te beheersen. Dit dient zodanig te gebeuren dat de technische beveiligingsmaatregelen ook daadwerkelijk effectief zijn.

Positionering CISO

Daarnaast dien je rekening te houden met de positionering van de CISO-functie binnen de gemeente en het daar bijhorende salaris. Momenteel bestaat er binnen gebruikte functiewaarderingsmethoden (nog) geen CISO-functie en ook geen functie die daarbij in de buurt komt. Het bijhorend salaris blijkt daarom in de praktijk veelal afhankelijk te zijn van de huidige functie waaraan de taak van de CISO wordt toebedeeld. Daarbij kan het bijvoorbeeld gaan om functies als: beleidsmedewerker, stafmedewerker of informatiemanager. Tevens heeft de functie waaraan de taak van de CISO wordt toebedeeld weer invloed op de plaats van de CISO-functie in de gemeente. En die positie binnen de gemeente is deels weer bepalend voor het welslagen van de functie. Idealiter rapporteert de CISO rechtstreeks aan het management. Zij zijn namelijk eindverantwoordelijk voor de interne beheersing en dus ook de informatiebeveiliging. De CISO zou dus een onafhankelijke positie moeten hebben. In praktijk zijn CISO’s vaak in de lijn gepositioneerd, waardoor er nog een aantal lagen tussen zit. Dit maakt de positie van de CISO lastig, de CISO wilt zijn/haar leidinggevende namelijk niet passeren en is daardoor niet onafhankelijk.

In de praktijk

Veel gemeenten hebben hierdoor moeite met het invullen van de CISO-functie. Er is dus veel vraag, maar anderzijds is er weinig aanbod. Want waarom zou je als goed gekwalificeerde CISO bij een gemeente gaan werken? Tegenover de waslijst aan benodigde kwaliteiten en vaardigheden staat namelijk maar een relatief mager salaris in vergelijking met het bedrijfsleven. Die bieden doorgaans een hoger salaris en daarnaast werk je daar in een team in plaats van dat je meerdere rollen zelf dient te vervullen. Denk hierbij aan die van de Privacy Officer/Functionaris Gegevensbescherming, een combinatie waar ik zelf overigens geen voorstander van ben.

Conclusie? Als goede CISO moet je zorgen voor de samenhang tussen zowel de technische als de organisatorische maatregelen. Waarbij ik, uitgaande van een volwassen afdeling Informatisering & Automatisering (I&A) en een gemeente van 50.000 inwoners en meer, opteer voor een meer ‘organisatorische CISO’, zodat je op de juiste wijze kunt omgaan met situaties zoals waar Oosenbrug mee moe(s)t omgaan. Dus wel technische kennis opdoen, maar deze grotendeels voor jezelf houden en (alleen) inzetten in gesprekken met techneuten, maar zeker niet richting bestuurders. Wat vind jij?

Renco Schoemaker

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Privacy: prioriteit of moetje?

Deze week bestond de AVG-privacywet drie jaar. De afgelopen jaren hebben gemeenten hard gewerkt om deze privacywet te implementeren. De grootste frustratie van CISO’s, Privacy Officers en FG’s hierbij, is om de aandacht van bestuurders voor dit on…

Met de BIO bezig blijven: hoe lang?

De implementatie van de Baseline Informatiebeveiliging Overheid (BIO) is geen eenvoudige opgave. Waarom wil het niet zo vlotten? Dat staat centraal in deze blog.

Security by Design concreet gemaakt

Met de komst van de AVG in 2018, is er ook veel aandacht voor de begrippen ‘Privacy by Design’ en ‘Security by Design’. Maar wat wordt hier nu eigenlijk mee bedoeld en waarom is het zo belangrijk? In deze blog wil ik graag specifiek ingaan op Secu…

Mobile Device Management: MDM, MAM en Windows 10

Vanuit de BIO is het helder dat je een vorm van beheer dient te voeren op apparaten, waaronder mobiele apparaten als telefoons, tablets en laptops. Welke mogelijkheden heb je daar eigenlijk tot je beschikking voor iOS, Android en Windows 10?

De BIO en het toepassen van encryptie; wat moet je weten?

Encryptie is een serieus onderdeel geworden binnen veel organisaties. Niet voor niets worden er in BIO eisen benoemd als het gaat om encryptie. Welke eisen zijn dit en wat moet je hier als CISO over weten?

De ingrediënten van een jaarverslag

In gemeenteland komt het jaarverslag er weer aan. Schrijf jij als CISO of FG al een separaat jaarverslag over informatiebeveiliging of privacy? Zeker doen!