Chief Information Security Officer. Ofwel CISO, dé spin in het web als het gaat om de beveiliging van informatie. De CISO heeft een centrale rol in het beheren van alle processen die daarmee te maken hebben en daar komt een hoop bij kijken. Je moet dan ook behoorlijk wat eigenschappen bezitten om deze rol op een juiste wijze uit te voeren, zowel op technisch als op organisatorisch vlak. Maar wat zijn dan die eigenschappen?
Als CISO heb je de teugels in handen als het gaat om het beheren van alles dat binnen de gemeente met informatiebeveiliging te maken heeft. Waar de rol soms nog wordt ingevuld met de focus op het definiëren van standaarden binnen het informatiebeveiligingsbeleid van de gemeente, gaat de rol in sommige organisaties veel verder dan dat. We leven immers in een digitaliserende wereld, waarin ontwikkelingen elkaar in rap tempo opvolgen. Denk aan het Internet of Things (IoT), maar ook nieuwe wetgeving, zoals de AVG. Deze ontwikkelingen brengen kansen met zich mee op informatieveiligheidsvlak, maar ook uitdagingen.
Bij al deze nieuwe technologieën en nieuwe toepassingen is van te voren lang niet altijd goed nagedacht over de beveiliging en privacy. Dit leidt weer tot meer incidenten, waaronder datalekken. Als CISO moet je kunnen acteren in deze snel veranderende wereld en dit kunnen vertalen naar de gemeentelijke situatie. Om daar een juiste functiebeschrijving voor te schrijven en passend persoon bij te vinden, blijkt in de praktijk erg lastig. Simpelweg omdat het nog steeds niet helemaal helder is waar de functie allemaal uit bestaat. Want welke eigenschappen moet een goede CISO bij een gemeente hebben?
“Als het nooit brandt, vragen mensen zich af waarom we zoveel brandweerauto’s en blusmateriaal nodig hebben. Maar áls er dan brand uitbreekt, verwacht iedereen wel dat je er staat en weet hoe je de brand moet blussen.” *
Veel CISO’s worstelen met hun autoriteit op de werkvloer. De ervaring leert dat mensen in de organisatie niet graag naar de CISO luisteren, net zoals niemand graag naar interne auditors luistert. Het is daarom belangrijk dat je als CISO in staat bent om je technologische kennis op een begrijpelijke manier uit te leggen aan anderen in de organisatie. Alleen dan kun je de organisatie in beweging krijgen en de nodige besluitvorming versnellen om uiteindelijk te kunnen (laten) doen wat nodig is. Uit onderzoek van de Visitatiecommissie Informatieveiligheid blijkt dat er te weinig bestuurlijke aandacht is voor informatieveiligheid binnen gemeenten, en dat er een hechtere verbinding moet komen tussen bestuurders en de CISO. De Informatiebeveiligingsdienst voor gemeenten (IBD) heeft dit ook erkend en heeft een CISO toolkit ontwikkeld om CISO’s hierbij te helpen. Maar met alleen zo’n toolkit kom je er niet. Daar is meer voor nodig.
Vergelijk het met een sales functie. Vaak wordt gezegd dat als sales niet in je bloed zit, je nooit een goede verkoper wordt, hoe hard je er ook voor werkt. Voor de CISO-functie geldt eigenlijk hetzelfde. Je kan nog zoveel boeken over informatiebeveiliging lezen, als je niet over de juiste eigenschappen beschikt zul je nooit een goede CISO worden, en er waarschijnlijk ook niet gelukkig van worden. Je zult vaak voor je positie moeten opkomen binnen de gemeente. Daarom zijn niet alleen de vakinhoudelijke aspecten van belang voor een CISO maar ook persoonlijke eigenschappen die je nodig hebt om de CISO-rol goed vorm te geven. Je doet het er niet even bij.
Eerder schreven we al een blog over het functieprofiel van een CISO en de juiste positionering in de organisatie. Graag zet ik vijf eigenschappen, waar je naar mijn mening als CISO anno 2018 minimaal over moet beschikken, voor je op een rij:
Beschik jij over deze eigenschappen?
* Quote Damming (http://www.ictmagazine.nl/achter-het-nieuws/goede-ciso-is-schaap-minimaal-zeven-poten/ )
Om een in-house cursus in te plannen, neem contact met ons op!
Copyright © 2014 - 2021 IB&P B.V.
algemene voorwaarden - privacyverklaring.
responsible disclosure - sitemap