Chief Information Security Officer. Ofwel CISO, dé spin in het web als het gaat om de beveiliging van informatie. De CISO heeft een centrale rol in het beheren van alle processen die daarmee te maken hebben en daar komt een hoop bij kijken. Je moet dan ook behoorlijk wat eigenschappen bezitten om deze rol op een juiste wijze uit te voeren, zowel op technisch als op organisatorisch vlak. Maar wat zijn dan die eigenschappen?

De CISO in het kort

Als CISO heb je de teugels in handen als het gaat om het beheren van alles dat binnen de gemeente met informatiebeveiliging te maken heeft. Waar de rol soms nog wordt ingevuld met de focus op het definiëren van standaarden binnen het informatiebeveiligingsbeleid van de gemeente, gaat de rol in sommige organisaties veel verder dan dat. We leven immers in een digitaliserende wereld, waarin ontwikkelingen elkaar in rap tempo opvolgen. Denk aan het Internet of Things (IoT), maar ook nieuwe wetgeving, zoals de AVG. Deze ontwikkelingen brengen kansen met zich mee op informatieveiligheidsvlak, maar ook uitdagingen.

Bij al deze nieuwe technologieën en nieuwe toepassingen is van te voren lang niet altijd goed nagedacht over de beveiliging en privacy. Dit leidt weer tot meer incidenten, waaronder datalekken. Als CISO moet je kunnen acteren in deze snel veranderende wereld en dit kunnen vertalen naar de gemeentelijke situatie. Om daar een juiste functiebeschrijving voor te schrijven en passend persoon bij te vinden, blijkt in de praktijk erg lastig. Simpelweg omdat het nog steeds niet helemaal helder is waar de functie allemaal uit bestaat. Want welke eigenschappen moet een goede CISO bij een gemeente hebben?

In de praktijk

“Als het nooit brandt, vragen mensen zich af waarom we zoveel brandweerauto’s en blusmateriaal nodig hebben. Maar áls er dan brand uitbreekt, verwacht iedereen wel dat je er staat en weet hoe je de brand moet blussen.” *

Veel CISO’s worstelen met hun autoriteit op de werkvloer. De ervaring leert dat mensen in de organisatie niet graag naar de CISO luisteren, net zoals niemand graag naar interne auditors luistert. Het is daarom belangrijk dat je als CISO in staat bent om je technologische kennis op een begrijpelijke manier uit te leggen aan anderen in de organisatie. Alleen dan kun je de organisatie in beweging krijgen en de nodige besluitvorming versnellen om uiteindelijk te kunnen (laten) doen wat nodig is. Uit onderzoek van de Visitatiecommissie Informatieveiligheid blijkt dat er te weinig bestuurlijke aandacht is voor informatieveiligheid binnen gemeenten, en dat er een hechtere verbinding moet komen tussen bestuurders en de CISO. De Informatiebeveiligingsdienst voor gemeenten (IBD) heeft dit ook erkend en heeft een CISO toolkit ontwikkeld om CISO’s hierbij te helpen. Maar met alleen zo’n toolkit kom je er niet. Daar is meer voor nodig.

Niet alleen technische kennis

Vergelijk het met een sales functie. Vaak wordt gezegd dat als sales niet in je bloed zit, je nooit een goede verkoper wordt, hoe hard je er ook voor werkt. Voor de CISO-functie geldt eigenlijk hetzelfde. Je kan nog zoveel boeken over informatiebeveiliging lezen, als je niet over de juiste eigenschappen beschikt zul je nooit een goede CISO worden, en er waarschijnlijk ook niet gelukkig van worden. Je zult vaak voor je positie moeten opkomen binnen de gemeente. Daarom zijn niet alleen de vakinhoudelijke aspecten van belang voor een CISO maar ook persoonlijke eigenschappen die je nodig hebt om de CISO-rol goed vorm te geven. Je doet het er niet even bij.

Eerder schreven we al een blog over het functieprofiel van een CISO en de juiste positionering in de organisatie. Graag zet ik vijf eigenschappen, waar je naar mijn mening als CISO anno 2018 minimaal over moet beschikken, voor je op een rij:

5 eigenschappen voor een CISO

1. Geduld, geduld, geduld “Accepteren dat dingen in een andere volgorde gebeuren dan je in gedachten had” – David G. Allen.
   Accepteer dat je niet alles tegelijk kunt implementeren. Vaak worden projecten groter gemaakt dan noodzakelijk is. Een project met een kleinere scope is veel makkelijker te realiseren. Daarnaast moet je ook geduld hebben als het gaat om besluitvorming binnen de gemeente. Vaak moeten meerdere mensen ergens iets van vinden en omdat het voor de meeste bestuurders toch nog vaak een ‘ver-van-hun-bed-show’ is, hebben zij tijd nodig om zich in de materie te verdiepen. Kortom, denk groot, maar start klein en ga stap voor stap vooruit.
2. Omgevingsbewustzijn “Security is better when it’s built in, not bolted on” – Stephen Yu
   Zie informatiebeveiliging in context van de gehele organisatie. Als CISO moet je beschikken over een goede kennis van organisatorische, maatschappelijke en politieke ontwikkelingen of andere omgevingsfactoren binnen en buiten je organisatie. Deze kennis benut je effectief voor je eigen functioneren en voor de gemeente waar je werkt. Zo heeft het Sociaal Domein bijvoorbeeld andere prioriteiten op het gebied van informatiebeveiliging dan een afdeling Vergunningen. Dit vraagt om een andere benadering en dito aanpak.
3. Goede communicatieve vaardigheden “If you can’t explain it simply, you don’t understand it well enough” – Albert Einstein
   Als CISO is technische kennis en analytisch vermogen een must. Maar een goede CISO onderscheidt zich pas echt door zijn communicatieve vaardigheden. De CISO moet communiceren over technische onderwerpen in een niet-technische omgeving, zowel richting een collega als richting het management en bestuur. Naast helder kunnen uitleggen moet je ook goed kunnen luisteren, om zo te weten te komen wat er speelt binnen een afdeling. Vraag door wanneer iets niet duidelijk is, zo krijg je een zo helder mogelijk beeld. En als laatste, misschien wel de lastigste, moet je om kunnen gaan met weerstand en onbegrip. Zorgt dat je verwachtingen op de juiste manier managed om teleurstellingen te voorkomen.
4. Ambitieuze instelling “A goal without a plan is just a wish” – Antoine de Saint
   Je moet een goede visie kunnen ontwikkelen op het gebied van informatieveiligheid binnen de eigen organisatie. Je zult hard moeten werken om deze visie te realiseren. Het is dus belangrijk dat je deze visie ook uitstraalt en kunt uitleggen aan anderen, om hen zo te overtuigen en beïnvloeden. Alleen dan wordt jouw visie een gedeelde visie van de organisatie. Draagvlak bij het bestuur en management is randvoorwaardelijk om je ambitie te kunnen realiseren. Houdt hierbij altijd rekening met de mogelijkheden die te realiseren zijn binnen de organisatie. Ja, je moet als CISO ambitieus zijn en de lat hoog weten te leggen, maar wees ook flexibel genoeg om te weten dat dit soms een utopie is.
5. Goede presentatie skills “All the great speakers were bad speakers at first” – Ralf Waldo Ermerson
   Als CISO heb je een adviserende rol richting het management en bestuur. Het is daarom belangrijk dat je zaken niet alleen goed op papier kunt zetten (rapporteren) maar ook goed kunt presenteren. Zeker bij een (niet-sexy) onderwerp als informatieveiligheid is het belangrijk dat je de aandacht van het publiek weet vast te houden en de boodschap goed kunt overbrengen. Bij gebrek hieraan verlies je als snel de aandacht van het publiek en zal je je doel niet bereiken. Kortom, niet alleen de inhoud, maar ook de manier waarop je als CISO iets presenteert is belangrijk .

Beschik jij over deze eigenschappen?

* Quote Damming (http://www.ictmagazine.nl/achter-het-nieuws/goede-ciso-is-schaap-minimaal-zeven-poten/ )