Als (lokale) overheid moet je op veel beleidsterreinen kennis in huis hebben. Ook op het gebied van informatiebeveiliging. Binnen de gemeente hebben we daarom de (verplichte) ‘CISO’ en/of ‘ISO’. Maar welke taken horen er nu eigenlijk bij de CISO te liggen en wat zou de ISO moeten doen? Kortom, hoe verhouden deze functies zich tot elkaar en wat zijn de verschillen?

De termen Chief Information Security Officer (CISO) en Information Security Officer (ISO) worden vaak door elkaar gebruikt. Is er een verschil tussen deze rollen? Jazeker. Het verschil zit in de taken en verantwoordelijkheden welke bij elke rol horen. In deze blog leg ik uit waar het verschil in zit en waarom het belangrijk is deze rollen beide goed te vervullen.

De Chief Information Security Officer (CISO)
Als gemeente ben je vanuit de Baseline Informatiebeveiliging Overheid (BIO) (6.1.1) verplicht een CISO aan te stellen. De CISO is dé spin in het web als het gaat om de beveiliging van informatie van de gemeente en is vooral op strategisch/tactisch niveau bezig. Hij is verantwoordelijk voor het opstellen en implementeren van, en toezicht houden op het informatiebeveiligingsbeleid. Daarnaast fungeert de CISO als sparringpartner voor de proceseigenaar, vaak de lijnmanager, die verantwoordelijk is voor de beveiliging van zijn/haar processen en/of informatiesystemen. Voor welke onderdelen uit de BIO de proceseigenaar verantwoordelijk is, heb ik onlangs onder elkaar gezet in de blog ‘Verantwoordelijkheden van de proceseigenaar binnen de BIO’. De CISO heeft hierin vooral een adviserende en ondersteunende rol. Om de rol van CISO goed in te vullen, moet je behoorlijk wat eigenschappen bezitten, zowel op technisch als op organisatorisch vlak. Wat die eigenschappen zijn, hebben we al in een eerdere blog beschreven.

Takenpakket CISO
De CISO fungeert als een soort programmamanager informatiebeveiliging die overzicht houdt op de gemeentebrede informatiebeveiliging. Hij zorgt voor organisatiebrede afstemming en samenhang ten aanzien van vraagstukken en processen die strategisch dan wel tactisch van aard zijn. De adviezen en aanwijzingen die de CISO geeft zijn niet geheel vrijblijvend en ook niet altijd gewenst, dit komt doordat hij soms tegengestelde bedrijfs- en beveiligingsbelangen met elkaar moet samenvoegen. Het is daarom belangrijk dat de CISO een goede en onafhankelijke positionering heeft binnen de organisatie. De CISO moet midden in de organisatie staan, een directe rapportagelijn hebben naar de gemeentesecretaris (als eindverantwoordelijke) en de (bestuurlijk) portefeuillehouder. De CISO hoort dus niet onder de ICT-afdeling gepositioneerd te zijn (wat soms wel het geval is).

De CISO is o.a. verantwoordelijk voor:

• het opstellen, implementeren, bijstellen, vernieuwen en herzien van het informatiebeveiligingsbeleid en de daaruit voortvloeiende plannen;
• het optreden als informatiebeveiligingsadviseur voor de proceseigenaar op managementniveau;
• het inrichten van de informatiebeveiligingsorganisatie;
• het coördineren en adviseren bij afhandelen van beveiligingsincidenten;
• de afstemming van informatiebeveiliging met andere beveiligingsdomeinen;
• het toezien op naleving van de eisen voor informatiebeveiliging;
• het bevorderen van het informatiebeveiligingsbewustzijn over de hele organisatie;
• de voorbereiding op toekomstige informatiebeveiligingsrisico’s en ICT-beveiligingsrisico’s;
• het adviseren bij en begeleiden van risicoanalyses;
• het meten van en rapporteren over informatiebeveiliging, door het initiëren of laten uitvoeren van (periodieke) beveiligingsaudits en evaluaties.

De Information Security Officer
De CISO kan geholpen worden door één of meerdere Information Security Officer(s) (ISO). Elke ISO kan in dat geval één of meerdere domeinen onder zich nemen om gerichter te kunnen ondersteunen. Een goed voorbeeld hiervan is de gemeente Utrecht, waarbij de CISO op strategisch/tactisch niveau zit, en een Decentrale ISO (DISO) op de verschillende organisatieonderdelen. De ISO werkt vanuit de kaders die op concernniveau worden vastgesteld door de CISO en richt zich met name op de uitvoering en naleving van die kaders in de processen zelf, dus op operationeel/inhoudelijk vlak. De ISO heeft kennis van het domein waar hij voor werkt en maakt de vertaalslag van het concernbrede informatiebeveiligingsbeleid naar de specifieke dreigingen, risico’s en maatregelen binnen het betreffende domein waar hij werkzaam voor is.  

Takenpakket ISO
De ISO houdt zich vooral bezig met het ondersteunen en adviseren van proceseigenaren op teamleidersniveau en ziet toe op de realisatie van het beleid. Dus het implementeren, invoeren en borgen van (technische) beheermaatregelen. Qua positionering zit de ISO op een lager niveau in de organisatie dan de CISO. Een greep uit het takenpakket van een ISO:

• bijdragen aan het opstellen, implementeren, bijstellen, vernieuwen en herzien van (operationele) plannen die voortvloeien uit het organisatiebrede informatiebeveiligingsbeleid.
• optreden als informatiebeveiligingsadviseur voor de proceseigenaar op teamleidersniveau waarbij hij adviseert over de uitwerking van het informatiebeveiligingsbeleid in plannen voor gebieden waar zij verantwoordelijk voor zijn, alsook de implementatie van deze plannen;
• ondersteunen bij de uitvoering van risicoanalyses (waaronder de dataclassificaties, DPIA en BIA);
• op de hoogte blijven van ontwikkelingen op het gebied van informatiebeveiliging en waar nodig verbeteringen doorvoeren (in producten, methodieken en/of werkwijzen);
• opzetten en initiëren van bewustwordingsprogramma’s en voorlichtingsbijeenkomsten op afdelingsniveau;
• dagelijks aanspreekpunt voor collega’s binnen zijn/haar domein als het gaat om vragen over informatiebeveiliging en het melden van beveiligingsincidenten;
• projecten leiden met als doel beveiligingsmaatregelen te implementeren en/of de kwaliteit te handhaven en verbeteren.

De verschillen?
Het belangrijkste onderscheid dat we zien, is dat de CISO het beleid bepaald en de kaders opstelt en dat de ISO operationeel bezig is en het beleid omzet in concrete activiteiten. Er is dus een duidelijke gelaagdheid tussen strategisch/tactische taken en operationele taken, waarbij de ISO in principe alleen operationele taken uitvoert. Hier is ook vaak een duidelijke hiërarchische lijn in te zien qua positionering. Waarbij een onafhankelijke positie van de CISO wordt aanbevolen, zodat hij objectief kan adviseren over het treffen van beveiligingsmaatregelen binnen de gemeentelijke organisatie en richting dienstenleveranciers. De CISO communiceert met name op managementniveau en de ISO op afdelingsniveau.

Maar, zo mooi als het hier omschreven staat, betekent niet dat het in de praktijk ook altijd zo geregeld is. Met als gevolg dat veel CISO’s een hoge werkdruk ervaren. Dit komt omdat deze CISO’s ook operationeel bezig zijn en taken uitvoeren die bij een ISO horen te liggen. Ik vind dan ook dat elke organisatie een CISO én een ISO nodig heeft. Simpelweg omdat de CISO geen taken van een ISO moet uitvoeren. Dit gaat ten koste van zijn eigenlijke taken en verantwoordelijkheden en daarnaast heeft de proceseigenaar zonder ISO geen ondersteuning bij de implementatie van de BIO binnen zijn/haar afdeling. Ik ben benieuwd hoe dit binnen jouw gemeente geregeld is?

Meer informatie?
Heb je na het lezen van deze blog vragen of wil je (tijdelijk) een CISO of ISO inhuren? Laat ons dit dan weten en neem contact met ons op.