De Chief Information Security Officer (CISO): een vakmens, meestal met een stevig inhoudelijk profiel, die de organisatie adviseert over informatiebeveiliging. Maar het échte verschil maken? Dat lukt pas als je als CISO serieus wordt genomen als strategisch adviseur van het bestuur. En daar gaat het nog vaak mis. In deze blog lees je waarom die adviserende rol zo belangrijk is, wat er in de praktijk vaak misgaat, en vooral: wat wél werkt.

Download hier een pdf van deze blog

Waarom de CISO meer moet zijn dan een ‘IT-man of -vrouw’

Informatiebeveiliging raakt tegenwoordig alle onderdelen van de gemeentelijke organisatie: van de aanvraag van een paspoort tot de ondersteuning van kwetsbare inwoners. De risico’s zijn reëel, denk aan ransomware, datalekken of problemen bij leveranciers, en de impact is groot. Toch wordt informatiebeveiliging in veel organisaties nog steeds gezien als iets technisch of procedureels, iets voor ‘de ICT-afdeling’ of voor de mensen van compliance. Maar dat beeld klopt niet. Informatiebeveiliging draait namelijk maar voor een klein deel om techniek. Het gaat minstens zo veel over processen en mensen: bewustwording, goede afspraken, duidelijke verantwoordelijkheden en een organisatiecultuur waarin veiligheid serieus wordt genomen.

Als er geen duidelijke keuzes en regie komen vanuit het management, blijft informatiebeveiliging een los eindje. Vaak wordt het dan achteraf geregeld, versnipperd belegd en dat maakt je kwetsbaar. Het is juist het bestuur dat moet bepalen hoeveel risico je als organisatie acceptabel vindt, waar je in investeert en hoe je zorgt voor samenhang. Daarom is het belangrijk dat de CISO niet wordt gezien als een uitvoerder binnen ‘de IT’, maar als strategisch adviseur van het bestuur. Iemand die de organisatie scherp houdt, risico’s duidt in de context van beleidsdoelen, en helpt om weloverwogen keuzes te maken.

De CISO als strategisch adviseur van het bestuur

Een goede CISO begrijpt hoe informatiebeveiliging raakt aan álle onderdelen van de organisatie, van dienstverlening en privacy tot governance en reputatie. Het is geen technische rol, maar een strategische. CISO’s hoeven dan ook geen diepgaande technische kennis te hebben. Ze zijn geen systeembeheerders of IT-specialisten, en dat is ook niet hun taak. Wat ze wél moeten kunnen: is risico’s in begrijpelijke taal duiden, deze koppelen aan beleidsdoelen en meedenken over realistische maatregelen binnen het beleid, budget en de cultuur van de organisatie.

Bestuurders en directeuren denken in termen van dienstverlening, imago en bestuurlijke verantwoordelijkheid. Een goede CISO kan goed uitleggen wat een beveiligingsrisico betekent voor bijvoorbeeld de continuïteit van de hulp aan inwoners, of voor de politieke verantwoording bij een incident. Heb je als organisatie zo’n CISO in huis? Geef diegene dan ook de ruimte om die rol goed te vervullen. Betrek hem of haar niet alleen bij incidenten of audits, maar juist ook bij beleidskeuzes, verandertrajecten en investeringsbesluiten. Niet omdat informatiebeveiliging daar ‘ook iets mee te maken heeft’, maar omdat het er onlosmakelijk onderdeel van uitmaakt.

Toch zien we in de praktijk dat deze strategische rol nog lang niet overal goed tot zijn recht komt. Er is vaak wel erkenning voor het belang van informatiebeveiliging, maar de aansluiting tussen de CISO en het bestuur verloopt niet altijd vlekkeloos. Dat heeft niet alleen te maken met de organisatie, maar ook met hoe de CISO zich positioneert en communiceert.

Waar gaat het vaak mis?

Veel CISO’s zijn inhoudelijk heel sterk, maar daarmee alleen kom je er niet als je met bestuurders om tafel zit. Dan ontstaan er toch vaak misverstanden of koudwatervrees. De meest voorkomende valkuilen in de praktijk zijn:

• Te technisch taalgebruik: Bestuurders haken af bij termen als ‘zero trust’, ‘threat modelling’ of ‘VLAN’s’.
• Te veel regeltjes: Als het gesprek vooral gaat over verplichtingen en audits, ontstaat er snel weerstand.
• Geen link met het grotere geheel: Als informatiebeveiliging niet wordt gekoppeld aan de bredere organisatiedoelen, blijft het een abstract ‘dingetje van ICT’.
• Incidenten blijven losse meldingen: Een incident wordt netjes afgehandeld, maar niet gebruikt om structurele keuzes te onderbouwen.

Het gevolg hiervan is dat het bestuur wel luistert, maar zich niet verantwoordelijk voelt. Laat staan dat ze proactief investeren in informatiebeveiliging.

Wat werkt dan wél?

Als CISO wil je niet alleen zenden, maar ook gehoord worden en invloed hebben op beslissingen die ertoe doen. Dat vraagt niet altijd om meer kennis of (technische) diepgang, maar vooral om strategische en communicatieve vaardigheden. Hieronder vind je vijf aanpakken die in de praktijk vaak wél werken.

1. Spreek de taal van bestuurders
   Bestuurders denken in maatschappelijke opgaven, risico’s voor de organisatie, dienstverlening aan inwoners en publieke verantwoording. Niet in firewalls of ISO-controls. Als je wilt aansluiten, moet je dus de taal van het bestuur spreken. Vooral bij informatiebeveiliging is het belangrijk om te weten of bestuurders de technologie begrijpen. Is een korte samenvatting voldoende of hebben zij meer achtergrondinformatie nodig om het te kunnen begrijpen? Leg uit wat informatiebeveiliging betekent voor het halen van beleidsdoelen of het vertrouwen van inwoners. Bijvoorbeeld: “Hoe zorgen we dat onze digitale dienstverlening veilig blijft, ook als een leverancier uitvalt?” Bereid belangrijke gesprekken goed voor, bijvoorbeeld met een communicatieadviseur, en oefen je kernboodschap.
   
2. Wees realistisch en oplossingsgericht
   Het heeft weinig zin om alleen risico’s te benoemen als je geen handelingsperspectief biedt. Bestuurders willen weten waar het knelt, maar vooral wat ze daaraan kunnen doen. Wees eerlijk over wat nog niet op orde is, maar benadruk ook wat er al goed gaat. Maak je verhaal concreet: wat is het risico, wat betekent dat voor de organisatie, en wat adviseer jij om te doen? Durf daarin ook duidelijke keuzes voor te leggen. Bijvoorbeeld: “Als we deze maatregel / actie niet nemen, lopen we het risico dat…”
   
3. Gebruik voorbeelden uit de praktijk
   Niets maakt de noodzaak zo duidelijk als een incident dat echt is gebeurd, helemaal als het iets is wat je zelf als organisatie ook zo zou kunnen meemaken. Vertel wat er gebeurde bij een andere gemeente of ketenpartner, en laat zien hoe dat ook jouw organisatie had kunnen raken. Denk aan uitval van een zaaksysteem, of een datalek bij een leverancier. Werk met scenario’s: “Wat als systeem X morgen uitvalt?” Leg de lessen vast uit eerdere incidenten binnen je eigen organisatie en gebruik die actief in gesprekken met bestuurders.
   
4. Breng bestuurlijke keuzes helder in beeld
   Bestuurders zijn geen vakinhoudelijke specialisten. Ze willen begrijpen waar ze over besluiten en wat de gevolgen zijn. Laat daarom altijd de alternatieven en hun impact zien. Denk bijvoorbeeld aan: “Scenario A kost meer, maar verlaagt het risico met 70%. Scenario B is goedkoper, maar minder effectief.” Maak het visueel als dat helpt bijvoorbeeld met tabellen, schema’s of beslisbomen. Sluit af met een concreet voorstel: “Ik adviseer scenario A, omdat…”
   
5. Investeer in de relatie
   Vertrouwen is cruciaal. Bestuurders nemen betere besluiten als ze je kennen, begrijpen wat je drijft en je zien als een meedenkende partner, niet alleen als de ‘regelhandhaver’. Zoek ook de informele momenten op: deel eens een relevant nieuwsartikel, nodig iemand uit voor een demo, of loop gewoon even binnen. Gebruik heldere, gewone taal in je communicatie, en stel af en toe een open vraag. Bouw actief aan je netwerk: wie kent wie in de directie of het college, en hoe kun jij daarin zichtbaar en benaderbaar zijn?

Tot slot: geduld en vasthoudendheid

Als CISO kun je veel betekenen voor je organisatie, maar dan moet je wel méér zijn dan de ‘(IT)expert’. Je bent adviseur, bruggenbouwer, en soms ook een beetje docent. En ja, dat vraagt geduld, herhaling en doorzettingsvermogen. Maar uiteindelijk loont het. Want informatiebeveiliging is geen doel op zich. Het is de basis voor goede, betrouwbare dienstverlening. Als jij dat verhaal goed weet te vertellen, in de juiste taal, met oog voor wat bestuurders nodig hebben, dan word je niet alleen gehoord, maar ook serieus genomen. Succes!

Meer informatie of hulp nodig?
Heb je na het lezen van de blog vragen of hulp nodig binnen jouw gemeente op dit vlak? IB&P helpt je graag. Kijk op deze pagina om te zien wat IB&P voor jou kan betekenen of neem direct contact met ons om te zien wat IB&P voor jou kan betekenen.