Snel naar content

De ideale positie als Chief Information Security Officer (CISO)? Zo claim je deze en krijg je grip op budget

Informatieveiligheid is een breed gebied: het omvat het onderzoeken, adviseren, ondersteunen en trainen van collega’s. De schone taak van een CISO is om de organisatie hierin te begeleiden, op alle fronten. Er wordt dus veel gevraagd van jou als CISO en niet altijd even veel geboden. Heb je de rol van CISO erbij? Of krijg je volop ruimte en middelen om jouw beroep uit te oefenen? Die insteek bepaalt de organisatie en daardoor kan de uitvoering en de kwaliteit van het werk verschillen als dag en nacht. Als CISO moet je soms zien te overleven met beperkt aantal middelen, niet of een beperkt budget, trage besluitvorming in een snel veranderende wereld en een mondjesmaat mandaat. Hoe ga je hier als CISO mee om? In dit tweede deel over de uitdagingen van een CISO lees je hoe je toewerkt naar budget en hoe je ermee om kunt gaan als je geen budget of mandaat hebt.

CISO en budget

Niet iedere CISO beschikt over een eigen budget. Vaak zit het budget verspreid in de organisatie, voor technische maatregelen moet je aansluiting zoeken bij IT, voor opleiding bij HRM en voor geld om een audit uit te voeren bij interne controle. Waar de ene CISO budget heeft voor ondersteunende tooling zoals een ISMS en/of GRC-tool, heeft de andere enkel ruimte om een verplichte pentest en audit uit te voeren. Om een optimale informatiebeveiliging mogelijk te maken heb je budget, mandaat en middelen nodig. Met mandaat kun je beslissingen nemen, met eigen budget kun je acties uitzetten en als je middelen tot je beschikking hebt kun je daar ook nog eens opvolging aan geven. Op die manier kun je als CISO jezelf optimaal positioneren om de informatieveiligheid naar een hoger niveau te krijgen.

Regeren is vooruitkijken

Gemeentelijke begrotingen worden vaak in het tweede kwartaal opgesteld en in september/oktober goedgekeurd door de gemeenteraad voor het jaar erop. Budgetten zijn dan gereserveerd voor specifieke doeleinden. Ad hoc extra geld vrijmaken voor het nemen van beveiligingsmaatregelen is dan nagenoeg kansloos. Alleen nood breekt wet, en dat probeer je nu juist te voorkomen. Daarom is het van belang om vooruit te kijken, zo ver als mogelijk. Vanuit een GAP-analyse zijn de ‘gaten’ in de beveiliging inzichtelijk, koppel hier prioriteiten aan en maak jaarplannen. Doe dit niet alleen, maar betrek de organisatie hierbij. Maatregelen zijn niet alleen gericht op de ICT, je hebt een breed scala aan stakeholders binnen je organisatie, het bestuur, de directie, managers en de medewerkers. Samen stel je de prioriteiten vast en onderbouw je de gemaakte keuzes. Op deze manier krijg je inzicht welke beveiligingsmaatregelen het komende jaar genomen moeten worden en dan kun je er ook budget aan koppelen.

“Ik heb een eigen budget gekregen door aan te tonen dat er meer gedaan moet worden aan Informatiebeveiliging waaronder awareness bijvoorbeeld, daar zijn vervolgens middelen voor vrij gemaakt.”

CISO van een gemeente uit Noord-Holland

Gezamenlijk budget

Geen eigen budget? Zorg er dan voor dat je zichtbaar bent in de organisatie, dan weten ze jou ook te vinden. Als je weet wat er speelt op de verschillende afdelingen kun jij ze ook adviseren op het gebeid van informatieveiligheid. Denken ze bij HRM na over e-learning? Zorg dat het belang van informatieveiligheid en awareness wordt meegenomen in de uitvraag. Moet de firewall vernieuwd worden? Zorg ervoor dat je aan de voorkant betrokken wordt om advies te geven. Wil de buitendienst een nieuw meldingensysteem aanschaffen? Zorg dat je aansluit zodat het belang van informatiebeveiliging en privacy mee wordt genomen. Het budget zit dan verspreid in de organisatie, maar de informatieveiligheid wordt wel aan de voorkant meegenomen.

Je kunt niet overal vooraan staan. Ook zonder mandaat kun je ver komen. Daarvoor heb je niet alleen de hulp van het management nodig, maar ook van je collega’s. Overal in de organisatie hebben ze te maken met informatieveiligheid, dus ga op zoek naar ambassadeurs. Denk dan niet alleen aan de medewerkers van burgerzaken, maar ook aan kwaliteit medewerkers in het sociaal domein, facilitaire medewerkers, adviseur bodem, i-adviseurs, privacy-offers, adviseur personeelszaken, communicatieadviseur, voormannen bij de buitendienst, bodes en ga zo maar door. Allemaal spelen ze een rol als het gaat over de bescherming van gegevens. Zorg er dus voor dat je het belang van informatieveiligheid breed onder de aandacht brengt. Dan kun je samen optrekken bij bijvoorbeeld het uitvoeren van een risicoanalyse.

Positie pakken

Met behulp van een risicoanalyse op de (werk)processen worden de risico’s in kaart gebracht. Zo kan een manager of proceseigenaar de juiste afweging maken. Dit kan betekenen dat er bewust een tijdelijk risico wordt genomen en de beveiligingsmaatregel later volgt. Zo ligt de verantwoordelijkheid op de juiste plek en kun jij als CISO de rol van adviseur pakken.

 “Bij een calamiteit informeer ik alleen mijn manager, ik vraag niet zijn toestemming. Dat was de eerste keer echt wel spannend, maar helpt wel om je positie duidelijk te maken. Als je zelf geen initiatief hierin neemt zal je manager het normaal gesproken ook niet doen. Directievoorstellen laat ik natuurlijk wel via hem lopen, hij moet in ieder geval weten wat er speelt. De indiener van een voorstel ben ik echter altijd zelf. Dat helpt weer in mijn zichtbaarheid.”

CISO van een gemeente uit de provincie Utrecht

Blijf op de hoogte

De auteur

Inergy
Inergy

Wij eten, drinken en ademen data – en wat je ermee kan doen. Dat delen we graag met jou. Meer weten over Inergy? Neem contact met ons op via 0348 45 76 66 of info@inergy.nl.

Meer berichten

Alle berichten

Gemeente Berkelland waarborgt de fiscale beheersmaatregelen met LIAS Horizontaal Toezicht

Gemeente Berkelland waarborgt de fiscale beheersmaatregelen met LIAS Horizontaal Toezicht

Gemeente Berkelland over LIAS HT: “Het waarborgen van de fiscale beheersmaatregelen is momenteel ons belangrijkste aandachtspunt” 

Lees verder

Tips voor een (informatie)veilige zomer

Tips voor een (informatie)veilige zomer

Voor velen is de zomervakantie is gestart. Een tijd van ontspanning en plezier, maar volgens de informatieveiligheid experts van Inergy...

Lees verder

Werken vanuit het buitenland: Carlijn in Zuid-Afrika 

Werken vanuit het buitenland: Carlijn in Zuid-Afrika 

Bij Inergy zijn er meerdere collega’s die naast kantoor en thuiswerken tijdelijk in het buitenland werken. In deze nieuwe reeks vragen we hun hoe het is om vanaf een “niet-standaard” locatie te werken. Deze keer: Carlijn van Schaik, Data Engineer bij Inergy, vanuit Kaapstad in Zuid-Afrika.

Lees verder