De CISO: het schaap met de vijf poten?


Het aanstellen van een CISO is een randvoorwaarde bij het vergroten van de informatieveiligheid binnen je gemeente. De CISO is dé spin in het web als het gaat om de beveiliging van informatie en heeft een centrale rol in het beheren van alle processen die daarmee te maken hebben. Maar de rol van CISO gaat verder dan dat. Naast technische vaardigheden moet je ook in het bezit zijn van een portie organisatorische skills. Maar omdat het nog een relatief

nieuwe functie is die volop in ontwikkeling is, is vaak nog onduidelijk wat nou precies het functieprofiel van een CISO en de juiste positionering in de organisatie is. Want welke kernkwaliteiten en vaardigheden moet een goede CISO hebben? En hoe verhouden die kwaliteiten zich tot elkaar?

Praktijkkennis niet van belang in Tweede Kamer

Aanleiding voor deze blog is het artikel in de Volkskrant over het vertrek van PvdA-Kamerlid Astrid Oosenbrug. Als een van de weinigen bracht zij, in plaats van een hoge opleiding, een hoop praktijkkennis over ICT met zich mee naar Den Haag. Maar ondanks haar technische achtergrond, heeft ze het gevoel dat ze niet serieus wordt genomen. In de loop van haar carrière is ze er meerdere malen op gewezen dat ze niet teveel op de inhoud moet zitten, omdat ze dan te ‘wijsneuzerig’ overkomt. De afgelopen maanden was Oosenbrug regelmatig in het nieuws omtrent de beveiliging van overheidswebsites. Oosenbrug heeft Plasterk eindeloos geprobeerd te overtuigen van de urgentie daarvan, totdat hij besloot er daadwerkelijk iets aan te doen. Vervolgens gaat hij er nu met de eer vandoor.. want zoals de media schrijft: “Plasterk regelt beveiliging overheidswebsites”. Dat voelde oneerlijk voor Van Oosenbrug. Volgens haar draait het in Den Haag vooral om hoe je in de media komt. En oprechtheid is daarbij niet altijd een handige kwaliteit.

Wat het artikel over van Oosenbrug ons kan leren, is dat je technische achtergrond goed van pas kan komen in dergelijke functies, maar wel onder een aantal voorwaarden:

  1. Je moet je (technische) kennis niet teveel etaleren.
  2. Je moet weten wanneer je ergens ‘in mee’ moet gaan, ofwel ‘keep your eyes on the price’.
  3. 3. Je moet kunnen accepteren dat iemand anders er met de eer van jouw werk vandoor kan gaan.

Terug naar het functieprofiel van de CISO. Want hoe vul je deze functie in, zodat de CISO zijn of haar werk goed kan doen?

Gezocht: het schaap met de vijf poten

Het vakgebied van de CISO is nog niet vastomlijnd en verschilt per branche of organisatie. Om taken en verantwoordelijkheden inzichtelijk te krijgen heeft de IBD de handreiking ‘IB-Functieprofiel CISO’ opgesteld. Hierin worden de kenmerken van een goede CISO beschreven. Naar mijn mening een functieprofiel voor het schaap met de vijf poten. De functie omvat namelijk vier verschillende resultaatgebieden, te weten: Beleid & Coördinatie, Controle & Registratie, Communicatie & Voorlichting en Advies & Rapportage. Dit betekent dat een CISO zowel in staat moet zijn om een beleid op te stellen als uit te voeren, maar ook in staat moet zijn dit beleid te toetsen/controleren. Daarnaast dient hij dit naar de rest van de organisatie te kunnen communiceren, heeft hij zelf veel kennis over informatieveiligheid nodig, en waar de eigen kennis onvoldoende is, dient hij te weten wie deze kennis wel heeft. Kortom, je moet flink wat competenties beheersen om dit allemaal te kunnen.

Technisch vs. organisatorisch

Zoals de IBD ook beschrijft in haar handreiking, is de CISO binnen een gemeente vaak ingedeeld in een technische of een meer organisatorische functie. Waarbij het doel van de meer technisch gerichte functie is om, met de bijbehorende specialistische kennis en kunde, het beveiligingsrisico met behulp van nieuwe technologieën op een aanvaardbaar niveau te brengen. Deze functie heeft een rol bij enerzijds de ontwikkeling van nieuwe projecten/systemen, en anderzijds het onderhoud en beheer van bestaande systemen. De meer organisatorische functie daarentegen heeft als belangrijkste doel om binnen de gemeente de implementatie van informatiebeveiliging en daarbij horende organisatorische maatregelen te initiëren en te beheersen. Dit dient zodanig te gebeuren dat de technische beveiligingsmaatregelen ook daadwerkelijk effectief zijn.

Positionering CISO

Daarnaast dien je rekening te houden met de positionering van de CISO-functie binnen de gemeente en het daar bijhorende salaris. Momenteel bestaat er binnen gebruikte functiewaarderingsmethoden (nog) geen CISO-functie en ook geen functie die daarbij in de buurt komt. Het bijhorend salaris blijkt daarom in de praktijk veelal afhankelijk te zijn van de huidige functie waaraan de taak van de CISO wordt toebedeeld. Daarbij kan het bijvoorbeeld gaan om functies als: beleidsmedewerker, stafmedewerker of informatiemanager. Tevens heeft de functie waaraan de taak van de CISO wordt toebedeeld weer invloed op de plaats van de CISO-functie in de gemeente. En die positie binnen de gemeente is deels weer bepalend voor het welslagen van de functie. Idealiter rapporteert de CISO rechtstreeks aan het management. Zij zijn namelijk eindverantwoordelijk voor de interne beheersing en dus ook de informatiebeveiliging. De CISO zou dus een onafhankelijke positie moeten hebben. In praktijk zijn CISO’s vaak in de lijn gepositioneerd, waardoor er nog een aantal lagen tussen zit. Dit maakt de positie van de CISO lastig, de CISO wilt zijn/haar leidinggevende namelijk niet passeren en is daardoor niet onafhankelijk.

In de praktijk

Veel gemeenten hebben hierdoor moeite met het invullen van de CISO-functie. Er is dus veel vraag, maar anderzijds is er weinig aanbod. Want waarom zou je als goed gekwalificeerde CISO bij een gemeente gaan werken? Tegenover de waslijst aan benodigde kwaliteiten en vaardigheden staat namelijk maar een relatief mager salaris in vergelijking met het bedrijfsleven. Die bieden doorgaans een hoger salaris en daarnaast werk je daar in een team in plaats van dat je meerdere rollen zelf dient te vervullen. Denk hierbij aan die van de Privacy Officer/Functionaris Gegevensbescherming, een combinatie waar ik zelf overigens geen voorstander van ben.

Conclusie? Als goede CISO moet je zorgen voor de samenhang tussen zowel de technische als de organisatorische maatregelen. Waarbij ik, uitgaande van een volwassen afdeling Informatisering & Automatisering (I&A) en een gemeente van 50.000 inwoners en meer, opteer voor een meer ‘organisatorische CISO’, zodat je op de juiste wijze kunt omgaan met situaties zoals waar Oosenbrug mee moe(s)t omgaan. Dus wel technische kennis opdoen, maar deze grotendeels voor jezelf houden en (alleen) inzetten in gesprekken met techneuten, maar zeker niet richting bestuurders. Wat vind jij?

Renco Schoemaker

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Waar gaat de Wet digitale overheid over?

Vorig jaar is het wetsvoorstel voor de Wet digitale overheid (Wdo) aangenomen door de Tweede Kamer. Maar waar gaat deze wet nu precies over? Wanneer gaat de wet (pas) van kracht en wat betekent dit voor jouw gemeentelijke organisatie?

Beleid voor informatiebeveiliging in bredere context

Een informatiebeveiligingsbeleid zou niet uit de lucht moeten komen vallen, maar een logisch gevolg van andere beleid en relevante, actuele ontwikkelingen. Juist die zetten we voor je op rij in deze blog. Handig, toch?

Digitale weerbaarheid verhogen – de basis op orde

De digitalisering gaat snel. Naast voordelen, brengt dit ook nieuwe kwetsbaarheden en dreigingen met zich mee. De BIO benoemd een aantal processen die je als randvoorwaardelijk zou kunnen bestempelen om je digitale weerbaarheid te verhogen. Welke …

Wat kunnen we leren van gemeente Amersfoort?

Eind mei is het eindrapport van de Rekenkamer Amersfoort naar de bescherming van persoonsgegevens verschenen. Hoe beschermt de gemeente de gegevens van haar inwoners? Hoe doen derden dat? En wat kunnen andere gemeenten leren van Amersfoort?

Privacy: prioriteit of moetje?

Deze week bestond de AVG-privacywet drie jaar. De afgelopen jaren hebben gemeenten hard gewerkt om deze privacywet te implementeren. De grootste frustratie van CISO’s, Privacy Officers en FG’s hierbij, is om de aandacht van bestuurders voor dit on…

Met de BIO bezig blijven: hoe lang?

De implementatie van de Baseline Informatiebeveiliging Overheid (BIO) is geen eenvoudige opgave. Waarom wil het niet zo vlotten? Dat staat centraal in deze blog.