Snel naar content
man zit achter computer

De ideale positie als Chief Information Security Officer (CISO)? Zo claim je deze en krijg je grip op budget

Informatieveiligheid is een breed gebied: het omvat het onderzoeken, adviseren, ondersteunen en trainen van collega’s. De schone taak van een CISO is om de organisatie hierin te begeleiden, op alle fronten. Er wordt dus veel gevraagd van jou als CISO en niet altijd even veel geboden. Heb je de rol van CISO erbij? Of krijg je volop ruimte en middelen om jouw beroep uit te oefenen? Die insteek bepaalt de organisatie en daardoor kan de uitvoering en de kwaliteit van het werk verschillen als dag en nacht. Als CISO moet je soms zien te overleven met beperkt aantal middelen, niet of een beperkt budget, trage besluitvorming in een snel veranderende wereld en een mondjesmaat mandaat. Hoe ga je hier als CISO mee om? In dit tweede deel over de uitdagingen van een CISO lees je hoe je toewerkt naar budget en hoe je ermee om kunt gaan als je geen budget of mandaat hebt.

CISO en budget

Niet iedere CISO beschikt over een eigen budget. Vaak zit het budget verspreid in de organisatie, voor technische maatregelen moet je aansluiting zoeken bij IT, voor opleiding bij HRM en voor geld om een audit uit te voeren bij interne controle. Waar de ene CISO budget heeft voor ondersteunende tooling zoals een ISMS en/of GRC-tool, heeft de andere enkel ruimte om een verplichte pentest en audit uit te voeren. Om een optimale informatiebeveiliging mogelijk te maken heb je budget, mandaat en middelen nodig. Met mandaat kun je beslissingen nemen, met eigen budget kun je acties uitzetten en als je middelen tot je beschikking hebt kun je daar ook nog eens opvolging aan geven. Op die manier kun je als CISO jezelf optimaal positioneren om de informatieveiligheid naar een hoger niveau te krijgen.

Regeren is vooruitkijken

Gemeentelijke begrotingen worden vaak in het tweede kwartaal opgesteld en in september/oktober goedgekeurd door de gemeenteraad voor het jaar erop. Budgetten zijn dan gereserveerd voor specifieke doeleinden. Ad hoc extra geld vrijmaken voor het nemen van beveiligingsmaatregelen is dan nagenoeg kansloos. Alleen nood breekt wet, en dat probeer je nu juist te voorkomen. Daarom is het van belang om vooruit te kijken, zo ver als mogelijk. Vanuit een GAP-analyse zijn de ‘gaten’ in de beveiliging inzichtelijk, koppel hier prioriteiten aan en maak jaarplannen. Doe dit niet alleen, maar betrek de organisatie hierbij. Maatregelen zijn niet alleen gericht op de ICT, je hebt een breed scala aan stakeholders binnen je organisatie, het bestuur, de directie, managers en de medewerkers. Samen stel je de prioriteiten vast en onderbouw je de gemaakte keuzes. Op deze manier krijg je inzicht welke beveiligingsmaatregelen het komende jaar genomen moeten worden en dan kun je er ook budget aan koppelen.

“Ik heb een eigen budget gekregen door aan te tonen dat er meer gedaan moet worden aan Informatiebeveiliging waaronder awareness bijvoorbeeld, daar zijn vervolgens middelen voor vrij gemaakt.”

CISO van een gemeente uit Noord-Holland

Gezamenlijk budget

Geen eigen budget? Zorg er dan voor dat je zichtbaar bent in de organisatie, dan weten ze jou ook te vinden. Als je weet wat er speelt op de verschillende afdelingen kun jij ze ook adviseren op het gebeid van informatieveiligheid. Denken ze bij HRM na over e-learning? Zorg dat het belang van informatieveiligheid en awareness wordt meegenomen in de uitvraag. Moet de firewall vernieuwd worden? Zorg ervoor dat je aan de voorkant betrokken wordt om advies te geven. Wil de buitendienst een nieuw meldingensysteem aanschaffen? Zorg dat je aansluit zodat het belang van informatiebeveiliging en privacy mee wordt genomen. Het budget zit dan verspreid in de organisatie, maar de informatieveiligheid wordt wel aan de voorkant meegenomen.

Je kunt niet overal vooraan staan. Ook zonder mandaat kun je ver komen. Daarvoor heb je niet alleen de hulp van het management nodig, maar ook van je collega’s. Overal in de organisatie hebben ze te maken met informatieveiligheid, dus ga op zoek naar ambassadeurs. Denk dan niet alleen aan de medewerkers van burgerzaken, maar ook aan kwaliteit medewerkers in het sociaal domein, facilitaire medewerkers, adviseur bodem, i-adviseurs, privacy-offers, adviseur personeelszaken, communicatieadviseur, voormannen bij de buitendienst, bodes en ga zo maar door. Allemaal spelen ze een rol als het gaat over de bescherming van gegevens. Zorg er dus voor dat je het belang van informatieveiligheid breed onder de aandacht brengt. Dan kun je samen optrekken bij bijvoorbeeld het uitvoeren van een risicoanalyse.

Positie pakken

Met behulp van een risicoanalyse op de (werk)processen worden de risico’s in kaart gebracht. Zo kan een manager of proceseigenaar de juiste afweging maken. Dit kan betekenen dat er bewust een tijdelijk risico wordt genomen en de beveiligingsmaatregel later volgt. Zo ligt de verantwoordelijkheid op de juiste plek en kun jij als CISO de rol van adviseur pakken.

 “Bij een calamiteit informeer ik alleen mijn manager, ik vraag niet zijn toestemming. Dat was de eerste keer echt wel spannend, maar helpt wel om je positie duidelijk te maken. Als je zelf geen initiatief hierin neemt zal je manager het normaal gesproken ook niet doen. Directievoorstellen laat ik natuurlijk wel via hem lopen, hij moet in ieder geval weten wat er speelt. De indiener van een voorstel ben ik echter altijd zelf. Dat helpt weer in mijn zichtbaarheid.”

CISO van een gemeente uit de provincie Utrecht

Blijf op de hoogte

De auteur

Inergy
Inergy

Wij eten, drinken en ademen data – en wat je ermee kan doen. Dat delen we graag met jou. Meer weten over Inergy? Neem contact met ons op via 0348 45 76 66 of info@inergy.nl.

Meer berichten

Alle berichten

Dé valkuilen en tips voor de gemeentelijke ENSIA-audit

Dé valkuilen en tips voor de gemeentelijke ENSIA-audit

Een audit goed voorbereiden? Logisch dat je daar vragen over hebt. Zoals wij kijken naar de ENSIA-audit is het vooral...

Lees verder

Een dag uit het leven van Arjan van Honk, senior BI Developer bij Inergy

Een dag uit het leven van Arjan van Honk, senior BI Developer bij Inergy

Bij Inergy werken ruim 160 collega’s. Hoe zien hun werkdagen eruit? Deze keer geeft Arjan van Honk, Senior BI Developer/Consultant bij Inergy, een kijkje in zijn werkdag. Een BI-developer is iemand die verantwoordelijk is voor het bouwen en onderhouden van data-oplossingen van onze klanten. Lees over zijn dynamische werkdag in Barcelona in deze blog!

Lees verder

Onze kijk op informatiebeveiliging in 2023

Onze kijk op informatiebeveiliging in 2023

Onze auditors doen honderden audits per jaar. Het valt op ons dat een aantal vragen vaak gesteld worden. Of het nu gaat een ENSIA, WPG, SUWI, VIPP of DIGID Audit. Een aantal zaken zetten we graag voor je op een rijtje omdat jij dit ook wil weten.

Lees verder