Snel naar content
Bianca kraft zit in overleg met een collega

Zo werk je als CISO toe naar meer zichtbaarheid en draagvlak

De CISO vervult een steeds belangrijkere rol binnen de Nederlandse gemeenten. De functienaam Chief Information Security Officer zou niet misstaan in een James Bond-film. De invulling kán net zo boeiend zijn als die van een geheim agent, maar als CISO heb je zichtbaarheid en draagvlak nodig in de organisatie om vervolgens bestuursleden te overtuigen van jouw inzichten. En dat terwijl informatieveiligheid steeds belangrijker is.

Hoe ga je hiermee om? Wij vroegen een aantal CISO’s van diverse gemeenten om praktische tips waar jij je voordeel mee kan doen voor meer zichtbaarheid en draagvlak in de praktijk.

Noodzaak van de CISO aan de orde van de dag

We leven in een tijd waarin datalekken en cyberaanvallen de horrorscenario’s vormen voor zo ongeveer elke organisatie. Goede informatiebeveiliging is noodzaak geworden. Mooi! Want daaruit blijkt dat óók collega’s zich steeds meer bewust zijn van het belang van informatieveiligheid.

Meer goed nieuws: die bewustwording levert vraagstukken op. Want hoe je het wendt of keert; een vraagstuk dat informatieveiligheid raakt, leidt in de meeste gevallen tot een verbetering in de organisatie. Jij als CISO ondersteunt, adviseert en begeleidt de proceseigenaar naar die verbetering.

Information Security Management System

LIAS ISMS

Met LIAS ISMS heb je als lokale overheid een professionele tool voor informatieveiligheid en privacy in handen. De tool ondersteunt bij het voldoen aan formele eisen zoals de documentatieplicht en audits. Met de aansluiting op de ENSIA-tool van de overheid leg je effectief en efficiënt verantwoording af.

 

Meer weten

Optimale zichtbaarheid voor jou als CISO

Een goede CISO is zichtbaar en toegankelijk, maar hoe creëer je zichtbaarheid? Sowieso door een actieve rol aan te nemen, en met behulp van:

  1. Kennissessies organiseren;
  2. Regelmaat rapporteren over stand van zaken en risico’s;
  3. Investeren in relatie met collega’s;
  4. Fysiek zichtbaar zijn.

1. Organiseer kennissessies

Een effectieve manier om jouw zichtbaarheid in de organisatie te vergroten is het organiseren van sessies waarin er kennis wordt gedeeld over informatiebeveiliging en privacy. Denk hierbij aan een Awareness training of een workshop informatiebeveiliging aan alle medewerkers, college en directie.

Regelmatig besteden wij in onze webinars aandacht aan informatiebeveiliging, privacy en bewustwording.

2. Rapporteer periodiek naar directie en bestuur

Periodiek rapporteren over de stand van zaken en risico’s aan directie en bestuur draagt enorm bij. Ook de tijd en aandacht nemen om uit te leggen waarom je iets wil laten gebeuren is effectief. Dan lukt het zelfs om minder populaire maatregelen door te voeren.

“Naast kennissessies deel ik veel nieuwsberichten over diverse onderwerpen binnen informatiebeveiliging. Bewustwording zit in de kracht van de herhaling.”

– CISO van een gemeente uit de regio Drenthe

3. Wees fysiek zichtbaar en investeer in relatie

Richting de collega’s op de werkvloer draagt fysiek zichtbaar zijn ook goed bij. Langslopen bij collega’s, een praatje maken en daarnaast maatregelen meegeven. Daarmee kweek je ook goodwill voor je maatregelen.

“Door maatregelen te bespreken voor je ze aankondigt landen ze vaak veel beter. Neem ze mee in jouw rol en daarmee de noodzaak om jou als CISO tijdig aanhaken. Tijdens deze periode van thuiswerken door corona is zichtbaarheid lastiger.

Dit hebben we opgelost door de campagne die we al gepland hadden iets meer op zenden in te zetten. Dit doen wij onder andere door posters als PDF bestand te verspreiden op het intranet en daarnaast vaker de telefoon pakken om een collega te bellen.”

– Jetse Fluitman, CISO Vijfheerenlanden

4. Realiseer draagvlak door een actieve rol, heldere taal en zichtbaar maken van risico’s

Als CISO heb je een onafhankelijke functie en geeft objectieve adviezen over informatieveiligheidsmaatregelen. Het liefst gebeurt dit midden in de organisatie, zodat er een brug ontstaat tussen processen en mensen. Door actief te zijn en aan te sluiten op de expertise van collega’s neem je ze gericht en op een aansprekende wijze mee in de wereld van informatiebeveiliging. Regels opleggen kan en is soms nodig, maar daarnaast kun je de procesverantwoordelijken ook zelf laten nadenken.

“Informeer zo helder mogelijk: in Jip en Janneke taal. Door jouw kennis van IT en informatiebeveiliging loop je het risico om bijvoorbeeld richting het bestuur teveel vaktermen en ingewikkelde taal te spreken met als gevolg dat een bestuurder afhaakt en je hem of haar dan niet mee krijgt.”

– Eddie Franke, CISO Borger-Odoorn

“Door uitleg te geven aan collega’s en daarbij concrete uitvragen te doen maak je helder wat je van mensen vraagt. Dit vraagt meer van jou als CISO aan de voorkant, maar levert uiteindelijk tijdwinst op.
Collega’s gaan op een gegeven moment de meerwaarde van hun inzet zien. Kanttekening daarbij is wel dat je moet blijven waken dat je niet het werk overneemt van de proceseigenaren.”

Melcher Westerhof, CISO Westerkwartier

Voorbeelden van risico’s voor bewustwording en urgentie

“Draagvlak creëer je vooral door de risico’s in beeld te brengen, op die manier probeer je ook de bestuursleden te overtuigen.”

– CISO van een gemeente uit de regio Drenthe

De ransomwaresituatie bij de universiteit van Maastricht, de Citrix crisis en de thuiswerksituatie vanwege corona hebben enorm bijdragen aan de bewustwording organisaties en daarmee het draagvlak voor informatiebeveiliging.

“In eerste instantie gaf ik vooral ongevraagd advies, maar nu weten collega’s mij te vinden. De incidenten van de afgelopen paar jaar zijn van grote waarde geweest om de organisatie inzicht te geven in de risico’s.

Het Citrix incident dat begin dit jaar de landelijke pers haalde hielp mij om mensen te overtuigen dat het geen ver-van-je-bed -show is. Security incidenten zijn een reëel risico en daar moeten we wat mee.” 

– Jetse Fluitman, CISO Vijfheerenlanden

Ons advies is daarom om dergelijke situaties aan te grijpen en directie, college en raad regelmatig te informeren. Wanneer een dergelijke situatie zich voordoet kan je als CISO of team de lead pakken en advies uitbrengen naar de directie. Tegelijkertijd kan je als CISO de maatregelen die genomen worden, uitleggen aan collega’s en leveranciers.

Wil je meer weten?

Wil je meer weten over onze oplossingen op gebied van informatiebeveiliging & privacy? Neem dan vrijblijvend contact met ons op. Eén van onze specialisten neemt binnen één werkdag contact met je op.

Blijf op de hoogte

De auteur

Inergy
Inergy

Wij eten, drinken en ademen data – en wat je ermee kan doen. Dat delen we graag met jou. Meer weten over Inergy? Neem contact met ons op via 0348 45 76 66 of info@inergy.nl.

Meer berichten

Alle berichten

Tips voor veilig online shoppen

Tips voor veilig online shoppen

Online shoppen biedt ons het gemak van winkelen vanuit huis, met een eindeloze selectie aan leuke kleding, schoenen, accessoires en spullen voor in huis. Met slechts een paar klikken kunnen we dit enorme assortiment aan producten vinden en bestellen. Ondanks dit gemak, is het belangrijk om ons bewust te zijn van potentiële risico’s die gepaard gaan met online shoppen.

Lees verder

Inergy implementeerde Microsoft Fabric: dit ontdekte onze expert

Inergy implementeerde Microsoft Fabric: dit ontdekte onze expert

De wereld van data analytics is in rep en roer. De reden? Microsoft Fabric. Dit splinternieuwe data analytics platform brengt alle losse analytics tools van Microsoft samen. Veel specialisten experimenteren ermee, maar heeft iemand het platform al bij een klant geïmplementeerd? Wij wel! In dit blog vertelt Merijn wat hij van de implementatie van Microsoft Fabric heeft geleerd.

Lees verder

Veilig (online) de vakantie door

Veilig (online) de vakantie door

Ga je binnenkort op vakantie? Een heerlijk tijd van ontspanning en plezier, maar volgens onze informatieveiligheid experts ook een periode...

Lees verder