De CISO: het schaap met de vijf poten?


Het aanstellen van een CISO is een randvoorwaarde bij het vergroten van de informatieveiligheid binnen je gemeente. De CISO is dé spin in het web als het gaat om de beveiliging van informatie en heeft een centrale rol in het beheren van alle processen die daarmee te maken hebben. Maar de rol van CISO gaat verder dan dat. Naast technische vaardigheden moet je ook in het bezit zijn van een portie organisatorische skills. Maar omdat het nog een relatief

nieuwe functie is die volop in ontwikkeling is, is vaak nog onduidelijk wat nou precies het functieprofiel van een CISO en de juiste positionering in de organisatie is. Want welke kernkwaliteiten en vaardigheden moet een goede CISO hebben? En hoe verhouden die kwaliteiten zich tot elkaar?

Praktijkkennis niet van belang in Tweede Kamer

Aanleiding voor deze blog is het artikel in de Volkskrant over het vertrek van PvdA-Kamerlid Astrid Oosenbrug. Als een van de weinigen bracht zij, in plaats van een hoge opleiding, een hoop praktijkkennis over ICT met zich mee naar Den Haag. Maar ondanks haar technische achtergrond, heeft ze het gevoel dat ze niet serieus wordt genomen. In de loop van haar carrière is ze er meerdere malen op gewezen dat ze niet teveel op de inhoud moet zitten, omdat ze dan te ‘wijsneuzerig’ overkomt. De afgelopen maanden was Oosenbrug regelmatig in het nieuws omtrent de beveiliging van overheidswebsites. Oosenbrug heeft Plasterk eindeloos geprobeerd te overtuigen van de urgentie daarvan, totdat hij besloot er daadwerkelijk iets aan te doen. Vervolgens gaat hij er nu met de eer vandoor.. want zoals de media schrijft: “Plasterk regelt beveiliging overheidswebsites”. Dat voelde oneerlijk voor Van Oosenbrug. Volgens haar draait het in Den Haag vooral om hoe je in de media komt. En oprechtheid is daarbij niet altijd een handige kwaliteit.

Wat het artikel over van Oosenbrug ons kan leren, is dat je technische achtergrond goed van pas kan komen in dergelijke functies, maar wel onder een aantal voorwaarden:

  1. Je moet je (technische) kennis niet teveel etaleren.
  2. Je moet weten wanneer je ergens ‘in mee’ moet gaan, ofwel ‘keep your eyes on the price’.
  3. 3. Je moet kunnen accepteren dat iemand anders er met de eer van jouw werk vandoor kan gaan.

Terug naar het functieprofiel van de CISO. Want hoe vul je deze functie in, zodat de CISO zijn of haar werk goed kan doen?

Gezocht: het schaap met de vijf poten

Het vakgebied van de CISO is nog niet vastomlijnd en verschilt per branche of organisatie. Om taken en verantwoordelijkheden inzichtelijk te krijgen heeft de IBD de handreiking ‘IB-Functieprofiel CISO’ opgesteld. Hierin worden de kenmerken van een goede CISO beschreven. Naar mijn mening een functieprofiel voor het schaap met de vijf poten. De functie omvat namelijk vier verschillende resultaatgebieden, te weten: Beleid & Coördinatie, Controle & Registratie, Communicatie & Voorlichting en Advies & Rapportage. Dit betekent dat een CISO zowel in staat moet zijn om een beleid op te stellen als uit te voeren, maar ook in staat moet zijn dit beleid te toetsen/controleren. Daarnaast dient hij dit naar de rest van de organisatie te kunnen communiceren, heeft hij zelf veel kennis over informatieveiligheid nodig, en waar de eigen kennis onvoldoende is, dient hij te weten wie deze kennis wel heeft. Kortom, je moet flink wat competenties beheersen om dit allemaal te kunnen.

Technisch vs. organisatorisch

Zoals de IBD ook beschrijft in haar handreiking, is de CISO binnen een gemeente vaak ingedeeld in een technische of een meer organisatorische functie. Waarbij het doel van de meer technisch gerichte functie is om, met de bijbehorende specialistische kennis en kunde, het beveiligingsrisico met behulp van nieuwe technologieën op een aanvaardbaar niveau te brengen. Deze functie heeft een rol bij enerzijds de ontwikkeling van nieuwe projecten/systemen, en anderzijds het onderhoud en beheer van bestaande systemen. De meer organisatorische functie daarentegen heeft als belangrijkste doel om binnen de gemeente de implementatie van informatiebeveiliging en daarbij horende organisatorische maatregelen te initiëren en te beheersen. Dit dient zodanig te gebeuren dat de technische beveiligingsmaatregelen ook daadwerkelijk effectief zijn.

Positionering CISO

Daarnaast dien je rekening te houden met de positionering van de CISO-functie binnen de gemeente en het daar bijhorende salaris. Momenteel bestaat er binnen gebruikte functiewaarderingsmethoden (nog) geen CISO-functie en ook geen functie die daarbij in de buurt komt. Het bijhorend salaris blijkt daarom in de praktijk veelal afhankelijk te zijn van de huidige functie waaraan de taak van de CISO wordt toebedeeld. Daarbij kan het bijvoorbeeld gaan om functies als: beleidsmedewerker, stafmedewerker of informatiemanager. Tevens heeft de functie waaraan de taak van de CISO wordt toebedeeld weer invloed op de plaats van de CISO-functie in de gemeente. En die positie binnen de gemeente is deels weer bepalend voor het welslagen van de functie. Idealiter rapporteert de CISO rechtstreeks aan het management. Zij zijn namelijk eindverantwoordelijk voor de interne beheersing en dus ook de informatiebeveiliging. De CISO zou dus een onafhankelijke positie moeten hebben. In praktijk zijn CISO’s vaak in de lijn gepositioneerd, waardoor er nog een aantal lagen tussen zit. Dit maakt de positie van de CISO lastig, de CISO wilt zijn/haar leidinggevende namelijk niet passeren en is daardoor niet onafhankelijk.

In de praktijk

Veel gemeenten hebben hierdoor moeite met het invullen van de CISO-functie. Er is dus veel vraag, maar anderzijds is er weinig aanbod. Want waarom zou je als goed gekwalificeerde CISO bij een gemeente gaan werken? Tegenover de waslijst aan benodigde kwaliteiten en vaardigheden staat namelijk maar een relatief mager salaris in vergelijking met het bedrijfsleven. Die bieden doorgaans een hoger salaris en daarnaast werk je daar in een team in plaats van dat je meerdere rollen zelf dient te vervullen. Denk hierbij aan die van de Privacy Officer/Functionaris Gegevensbescherming, een combinatie waar ik zelf overigens geen voorstander van ben.

Conclusie? Als goede CISO moet je zorgen voor de samenhang tussen zowel de technische als de organisatorische maatregelen. Waarbij ik, uitgaande van een volwassen afdeling Informatisering & Automatisering (I&A) en een gemeente van 50.000 inwoners en meer, opteer voor een meer ‘organisatorische CISO’, zodat je op de juiste wijze kunt omgaan met situaties zoals waar Oosenbrug mee moe(s)t omgaan. Dus wel technische kennis opdoen, maar deze grotendeels voor jezelf houden en (alleen) inzetten in gesprekken met techneuten, maar zeker niet richting bestuurders. Wat vind jij?

Renco Schoemaker

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Grip op informatie

Onlangs publiceerde de Vereniging van Nederlandse Gemeenten (VNG) het magazine ‘Grip op informatie’, waarin acht gemeenten een boekje opendoen over hoe zij omgaan met informatie. In deze blog licht ik enkele kernpunten en conclusies uit op het geb…

Wat zegt de GIBIT over informatiebeveiliging?

Om te zorgen dat een product of dienst aansluit bij de behoefte, wordt gemeenten aanbevolen om gebruik te maken van de Gemeentelijke Inkoopvoorwaarden bij IT (GIBIT). Deze uniforme inkoopvoorwaarden helpen gemeenten bij het professionaliseren van …

Wanneer en hoe zet je software in bij je ISMS-proces?

Onlangs heb ik een presentatie gegeven over hoe je je organisatie betrekt bij informatiebeveiliging en privacymanagement. En dan met name over hoe je tooling ter ondersteuning van je ISMS kunt inzetten en ook over wanneer je dit doet. In deze blog…

Meten, weten en rapporteren over informatiebeveiliging

Het monitoren en meten van en rapporteren over informatiebeveiliging is essentieel voor het beheren van een goede informatiebeveiligingsfunctie. Maar waarom is het belangrijk om dit te doen en hoe kun je dit dan het beste doen?

Gemeenten massaal naar de cloud; hoe staat het met de uit te voeren DPIA’s?

De afgelopen maanden is digitaal samenwerken in de cloud versneld geïmplementeerd bij veel gemeenten. Werken in de cloud biedt viel mogelijkheden, maar organisaties moeten waken voor beveiligings- en privacyrisico’s. De Rijksoverheid heeft DPIA’s …

Tien stappenplan voor het opstellen van een autorisatiematrix

Een handig hulpmiddel bij het goed inrichten van autorisaties, is een autorisatiematrix. Maar hoe stel je een autorisatiematrix op? IB&P heeft een tien stappenplan gemaakt om je hierbij te helpen. In deze blog lees je hoe je een autorisatiematrix …