De CISO rol: een sleutel tot succes of een missie gedoemd te mislukken

Een kundige en goed gepositioneerde Chief Information Security Officer (CISO) is onmisbaar voor overheidsorganisaties. Veiligheidsincidenten nemen in een rap tempo toe, cybercriminelen worden steeds sluwer en slimmer en overheidsorganisatie lopen, vaak onbewust, achter op het gebied van informatieveiligheid. Daarbij is informatieveiligheid de basis van privacy, zonder staat de deur wagenwijd open voor kwaadwillende. Wij vinden het op zijn minst merkwaardig dat de CISO rol een relatief vrijblijvend karakter heeft en geen wettelijke status geniet.

De rol en positionering van de interne toezichthouder privacy, Functionaris Gegevensbescherming (FG), staat volledig beschreven in de Algemene Verordening Gegevensbescherming (AVG). Bovendien geniet de FG van wettelijk bepaalde ontslagbescherming om haar onafhankelijke rol te waarborgen, zodat contrasterende belangen neutraal kunnen worden afgewogen. Het is echter essentieel om de CISO goed te positioneren met voldoende mandaat en op strategisch niveau. Wij van Native Consulting zijn van mening dat de CISO hoort de spil te zijn tussen de business en de techniek. De Informatiebeveiligingsdienst (IBD) heeft de eerste stap gemaakt om de CISO rol te beschrijven in hun handreiking. Wij borduren graag voort op deze uitgangspunten vanuit onze ervaring.

Afbeelding 1: 9-vlaksmodel Maes

De positie in de organisatie
De CISO rol is strategisch van aard. Dit betekent dat de CISO zich in de bovenste laag van het 9-vlaksmodel bevindt (afbeelding 1). De CISO focust zich voornamelijk op het samenstellen en managen van strategie, beleid en projectenportfolio’s op het gebied van informatieveiligheid. Afhankelijk van de grootte van de organisatie kan het voorkomen dat een CISO zich meer in het tactische vlak begeeft. Delegeren is immers niet altijd een optie met een beperkte bezetting. Hoe dan ook is het belangrijk om de uitvoering zo min mogelijk bij de CISO te beleggen. De organisatie is als een geheel verantwoordelijk voor de uitvoering van informatieveiligheid, de CISO dient hier de juiste kaders en handvatten voor te bieden. Idealiter is de CISO in de bovenste laag van de organisatie kolom gepositioneerd, dicht bij die verantwoordelijkheid.

Toch wordt een CISO wel eens in de uitvoerende laag gepositioneerd. Vanuit onze ervaring signaleren wij dat dit zorgt voor een beperking van de onafhankelijkheid van de CISO. Een CISO dient gevraagd en ongevraagd advies te kunnen leveren en behoort snel de alarmbel te kunnen rinkelen indien noodzakelijk. Het is onjuist en onwerkbaar voor een CISO als deze signalen en adviezen goedkeuring vereisen van een teamleider en/of afdelingshoofd. Een CISO heeft een strategische positie nodig met voldoende mandaat en budget om haar rol onafhankelijk en toereikend uit te voeren.

”Bewustwording is hier het sleutelwoord: het meest gebruikte wachtwoord in Nederland in 2020 is 123456”

Mens en techniek
De CISO rol kent zijn oorsprong in de techniek, maar kennis van mens en organisatie is onmisbaar in het profiel. Als er één algemene conclusie kan worden getrokken uit de veiligheidsincidenten van de afgelopen vijf jaar is het wel dat de mens de zwakste schakel is. Technische maatregelen zoals multi-factor authenticatie, datalekpreventie software en firewalls helpen onze systemen veilig te houden, maar zijn nooit volledig sluitend. Bewustwording is hier het sleutelwoord: het meest gebruikte wachtwoord in Nederland in 2020 is 123456. Een CISO kan de verbinding leggen tussen de techniek en de mens, met de organisatiecultuur en ambitie als uitgangspunt.

Verbinding CISO, ENSIA en FG
Informatieveiligheidsmaatregelen draaien om drie elementen: opzet, bestaan en werking, welke continue getoetst worden (PDCA-cyclus). Het verschil tussen deze elementen is het verschil tussen plannen, uitvoering en het daadwerkelijk behalen van het beoogde doel met de maatregel. Een CISO houdt zich voornamelijk bezig met de opzet en bestaan van maatregelen. De verantwoording, ook wel de ‘check’ in de PDCA-cyclus, is belegd bij de Eenduidige Normatiek Single Informatie Audit (ENSIA) coördinator. Soms wordt de CISO rol gecombineerd met een ENSIA rol. Deze twee rollen kunnen prima naast elkaar bestaan. Het is echter wel belangrijk om te signaleren dat de ENSIA rol voornamelijk controlerend en vaak technisch is, tegenover de adviserende en sturende rol van de CISO over de gehele organisatie.

Daarbij is het ook belangrijk dat de CISO in nauwe verbinding staat met het privacy team. Net zoals informatieveiligheid vereist de borging van privacy het continu implementeren en toetsen van maatregelen. Informatieveiligheid en privacy kunnen elkaar hierin versterken. Het uitvoeren van een DPIA biedt bijvoorbeeld een uitgelezen kans om ook de informatieveiligheid van deze verwerking eens onder de loep te nemen.

Wij zijn van mening dat het een samenspel betreft van de CISO met tenminste het privacy team en de ENSIA coördinator om informatiebeveiliging zo goed mogelijk binnen de organisatie te borgen en de PDCA-cyclus te beheersen.

Tot slot
Concluderend zijn de volgende uitgangspunten belangrijk voor de invulling van de CISO rol:

  • Strategische positie met mandaat en budget;
  • Verantwoordelijkheid kenbaar maken en beleggen bij de organisatie;
  • Uitvoering delegeren daar waar mogelijk;
  • Kennis van techniek, maar vooral mens en organisatie;
  • Dicht bij de organisatie gepositioneerd;
  • Nauw samenwerken met de ENSIA coördinator, FG en PO.

Native Consulting ondersteunt organisaties bij het inrichten en borgen van informatieveiligheid en privacy. Onder andere door de huidige inrichting en het beleid tegen het licht te houden, nieuw beleid op te stellen, bewustwordingscampagnes te organiseren en vanuit verschillende rollen, structureel en incidenteel ondersteuning te bieden.