De CISO vervult een steeds belangrijkere rol binnen de Nederlandse gemeenten. De functienaam Chief Information Security Officer zou niet misstaan in een James Bond-film. De invulling kán net zo boeiend zijn als die van een geheim agent, maar als CISO heb je zichtbaarheid en draagvlak nodig in de organisatie om vervolgens bestuursleden te overtuigen van jouw inzichten. En dat terwijl informatieveiligheid steeds belangrijker is.
Hoe ga je hiermee om? Wij vroegen een aantal CISO’s van diverse gemeenten om praktische tips waar jij je voordeel mee kan doen voor meer zichtbaarheid en draagvlak in de praktijk.
Noodzaak van de CISO aan de orde van de dag
We leven in een tijd waarin datalekken en cyberaanvallen de horrorscenario’s vormen voor zo ongeveer elke organisatie. Goede informatiebeveiliging is noodzaak geworden. Mooi! Want daaruit blijkt dat óók collega’s zich steeds meer bewust zijn van het belang van informatieveiligheid.
Meer goed nieuws: die bewustwording levert vraagstukken op. Want hoe je het wendt of keert; een vraagstuk dat informatieveiligheid raakt, leidt in de meeste gevallen tot een verbetering in de organisatie. Jij als CISO ondersteunt, adviseert en begeleidt de proceseigenaar naar die verbetering.
Information Security Management System
LIAS ISMS
Met LIAS ISMS heb je als lokale overheid een professionele tool voor informatieveiligheid en privacy in handen. De tool ondersteunt bij het voldoen aan formele eisen zoals de documentatieplicht en audits. Met de aansluiting op de ENSIA-tool van de overheid leg je effectief en efficiënt verantwoording af.
Optimale zichtbaarheid voor jou als CISO
Een goede CISO is zichtbaar en toegankelijk, maar hoe creëer je zichtbaarheid? Sowieso door een actieve rol aan te nemen, en met behulp van:
- Kennissessies organiseren;
- Regelmaat rapporteren over stand van zaken en risico’s;
- Investeren in relatie met collega’s;
- Fysiek zichtbaar zijn.
1. Organiseer kennissessies
Een effectieve manier om jouw zichtbaarheid in de organisatie te vergroten is het organiseren van sessies waarin er kennis wordt gedeeld over informatiebeveiliging en privacy. Denk hierbij aan een Awareness training of een workshop informatiebeveiliging aan alle medewerkers, college en directie.
Regelmatig besteden wij in onze webinars aandacht aan informatiebeveiliging, privacy en bewustwording.
2. Rapporteer periodiek naar directie en bestuur
Periodiek rapporteren over de stand van zaken en risico’s aan directie en bestuur draagt enorm bij. Ook de tijd en aandacht nemen om uit te leggen waarom je iets wil laten gebeuren is effectief. Dan lukt het zelfs om minder populaire maatregelen door te voeren.
“Naast kennissessies deel ik veel nieuwsberichten over diverse onderwerpen binnen informatiebeveiliging. Bewustwording zit in de kracht van de herhaling.”
– CISO van een gemeente uit de regio Drenthe
3. Wees fysiek zichtbaar en investeer in relatie
Richting de collega’s op de werkvloer draagt fysiek zichtbaar zijn ook goed bij. Langslopen bij collega’s, een praatje maken en daarnaast maatregelen meegeven. Daarmee kweek je ook goodwill voor je maatregelen.
“Door maatregelen te bespreken voor je ze aankondigt landen ze vaak veel beter. Neem ze mee in jouw rol en daarmee de noodzaak om jou als CISO tijdig aanhaken. Tijdens deze periode van thuiswerken door corona is zichtbaarheid lastiger.
Dit hebben we opgelost door de campagne die we al gepland hadden iets meer op zenden in te zetten. Dit doen wij onder andere door posters als PDF bestand te verspreiden op het intranet en daarnaast vaker de telefoon pakken om een collega te bellen.”
– Jetse Fluitman, CISO Vijfheerenlanden
4. Realiseer draagvlak door een actieve rol, heldere taal en zichtbaar maken van risico’s
Als CISO heb je een onafhankelijke functie en geeft objectieve adviezen over informatieveiligheidsmaatregelen. Het liefst gebeurt dit midden in de organisatie, zodat er een brug ontstaat tussen processen en mensen. Door actief te zijn en aan te sluiten op de expertise van collega’s neem je ze gericht en op een aansprekende wijze mee in de wereld van informatiebeveiliging. Regels opleggen kan en is soms nodig, maar daarnaast kun je de procesverantwoordelijken ook zelf laten nadenken.
“Informeer zo helder mogelijk: in Jip en Janneke taal. Door jouw kennis van IT en informatiebeveiliging loop je het risico om bijvoorbeeld richting het bestuur teveel vaktermen en ingewikkelde taal te spreken met als gevolg dat een bestuurder afhaakt en je hem of haar dan niet mee krijgt.”
– Eddie Franke, CISO Borger-Odoorn
“Door uitleg te geven aan collega’s en daarbij concrete uitvragen te doen maak je helder wat je van mensen vraagt. Dit vraagt meer van jou als CISO aan de voorkant, maar levert uiteindelijk tijdwinst op.
Collega’s gaan op een gegeven moment de meerwaarde van hun inzet zien. Kanttekening daarbij is wel dat je moet blijven waken dat je niet het werk overneemt van de proceseigenaren.”
– Melcher Westerhof, CISO Westerkwartier
Voorbeelden van risico’s voor bewustwording en urgentie
“Draagvlak creëer je vooral door de risico’s in beeld te brengen, op die manier probeer je ook de bestuursleden te overtuigen.”
– CISO van een gemeente uit de regio Drenthe
De ransomwaresituatie bij de universiteit van Maastricht, de Citrix crisis en de thuiswerksituatie vanwege corona hebben enorm bijdragen aan de bewustwording organisaties en daarmee het draagvlak voor informatiebeveiliging.
“In eerste instantie gaf ik vooral ongevraagd advies, maar nu weten collega’s mij te vinden. De incidenten van de afgelopen paar jaar zijn van grote waarde geweest om de organisatie inzicht te geven in de risico’s.
Het Citrix incident dat begin dit jaar de landelijke pers haalde hielp mij om mensen te overtuigen dat het geen ver-van-je-bed -show is. Security incidenten zijn een reëel risico en daar moeten we wat mee.”
– Jetse Fluitman, CISO Vijfheerenlanden
Ons advies is daarom om dergelijke situaties aan te grijpen en directie, college en raad regelmatig te informeren. Wanneer een dergelijke situatie zich voordoet kan je als CISO of team de lead pakken en advies uitbrengen naar de directie. Tegelijkertijd kan je als CISO de maatregelen die genomen worden, uitleggen aan collega’s en leveranciers.
Wil je meer weten?
Wil je meer weten over onze oplossingen op gebied van informatiebeveiliging & privacy? Neem dan vrijblijvend contact met ons op. Eén van onze specialisten neemt binnen één werkdag contact met je op.