Informatieveiligheid is een breed gebied: het omvat het onderzoeken, adviseren, ondersteunen en trainen van collega’s. De schone taak van een CISO is om de organisatie hierin te begeleiden, op alle fronten. Er wordt dus veel gevraagd van jou als CISO en niet altijd even veel geboden. Heb je de rol van CISO erbij? Of krijg je volop ruimte en middelen om jouw beroep uit te oefenen? Die insteek bepaalt de organisatie en daardoor kan de uitvoering en de kwaliteit van het werk verschillen als dag en nacht. Als CISO moet je soms zien te overleven met beperkt aantal middelen, niet of een beperkt budget, trage besluitvorming in een snel veranderende wereld en een mondjesmaat mandaat. Hoe ga je hier als CISO mee om? In dit tweede deel over de uitdagingen van een CISO lees je hoe je toewerkt naar budget en hoe je ermee om kunt gaan als je geen budget of mandaat hebt.
CISO en budget
Niet iedere CISO beschikt over een eigen budget. Vaak zit het budget verspreid in de organisatie, voor technische maatregelen moet je aansluiting zoeken bij IT, voor opleiding bij HRM en voor geld om een audit uit te voeren bij interne controle. Waar de ene CISO budget heeft voor ondersteunende tooling zoals een ISMS en/of GRC-tool, heeft de andere enkel ruimte om een verplichte pentest en audit uit te voeren. Om een optimale informatiebeveiliging mogelijk te maken heb je budget, mandaat en middelen nodig. Met mandaat kun je beslissingen nemen, met eigen budget kun je acties uitzetten en als je middelen tot je beschikking hebt kun je daar ook nog eens opvolging aan geven. Op die manier kun je als CISO jezelf optimaal positioneren om de informatieveiligheid naar een hoger niveau te krijgen.
Regeren is vooruitkijken
Gemeentelijke begrotingen worden vaak in het tweede kwartaal opgesteld en in september/oktober goedgekeurd door de gemeenteraad voor het jaar erop. Budgetten zijn dan gereserveerd voor specifieke doeleinden. Ad hoc extra geld vrijmaken voor het nemen van beveiligingsmaatregelen is dan nagenoeg kansloos. Alleen nood breekt wet, en dat probeer je nu juist te voorkomen. Daarom is het van belang om vooruit te kijken, zo ver als mogelijk. Vanuit een GAP-analyse zijn de ‘gaten’ in de beveiliging inzichtelijk, koppel hier prioriteiten aan en maak jaarplannen. Doe dit niet alleen, maar betrek de organisatie hierbij. Maatregelen zijn niet alleen gericht op de ICT, je hebt een breed scala aan stakeholders binnen je organisatie, het bestuur, de directie, managers en de medewerkers. Samen stel je de prioriteiten vast en onderbouw je de gemaakte keuzes. Op deze manier krijg je inzicht welke beveiligingsmaatregelen het komende jaar genomen moeten worden en dan kun je er ook budget aan koppelen.
“Ik heb een eigen budget gekregen door aan te tonen dat er meer gedaan moet worden aan Informatiebeveiliging waaronder awareness bijvoorbeeld, daar zijn vervolgens middelen voor vrij gemaakt.”
CISO van een gemeente uit Noord-Holland
Gezamenlijk budget
Geen eigen budget? Zorg er dan voor dat je zichtbaar bent in de organisatie, dan weten ze jou ook te vinden. Als je weet wat er speelt op de verschillende afdelingen kun jij ze ook adviseren op het gebeid van informatieveiligheid. Denken ze bij HRM na over e-learning? Zorg dat het belang van informatieveiligheid en awareness wordt meegenomen in de uitvraag. Moet de firewall vernieuwd worden? Zorg ervoor dat je aan de voorkant betrokken wordt om advies te geven. Wil de buitendienst een nieuw meldingensysteem aanschaffen? Zorg dat je aansluit zodat het belang van informatiebeveiliging en privacy mee wordt genomen. Het budget zit dan verspreid in de organisatie, maar de informatieveiligheid wordt wel aan de voorkant meegenomen.
Je kunt niet overal vooraan staan. Ook zonder mandaat kun je ver komen. Daarvoor heb je niet alleen de hulp van het management nodig, maar ook van je collega’s. Overal in de organisatie hebben ze te maken met informatieveiligheid, dus ga op zoek naar ambassadeurs. Denk dan niet alleen aan de medewerkers van burgerzaken, maar ook aan kwaliteit medewerkers in het sociaal domein, facilitaire medewerkers, adviseur bodem, i-adviseurs, privacy-offers, adviseur personeelszaken, communicatieadviseur, voormannen bij de buitendienst, bodes en ga zo maar door. Allemaal spelen ze een rol als het gaat over de bescherming van gegevens. Zorg er dus voor dat je het belang van informatieveiligheid breed onder de aandacht brengt. Dan kun je samen optrekken bij bijvoorbeeld het uitvoeren van een risicoanalyse.
Positie pakken
Met behulp van een risicoanalyse op de (werk)processen worden de risico’s in kaart gebracht. Zo kan een manager of proceseigenaar de juiste afweging maken. Dit kan betekenen dat er bewust een tijdelijk risico wordt genomen en de beveiligingsmaatregel later volgt. Zo ligt de verantwoordelijkheid op de juiste plek en kun jij als CISO de rol van adviseur pakken.
“Bij een calamiteit informeer ik alleen mijn manager, ik vraag niet zijn toestemming. Dat was de eerste keer echt wel spannend, maar helpt wel om je positie duidelijk te maken. Als je zelf geen initiatief hierin neemt zal je manager het normaal gesproken ook niet doen. Directievoorstellen laat ik natuurlijk wel via hem lopen, hij moet in ieder geval weten wat er speelt. De indiener van een voorstel ben ik echter altijd zelf. Dat helpt weer in mijn zichtbaarheid.”
CISO van een gemeente uit de provincie Utrecht