De Chief Information Security Officer (CISO) is in deze tijd, zeker bij grotere organisaties en ondernemingen, niet meer weg te denken als belangrijke spil binnen een organisatie, die ervoor zorgt dat de informatie en technologische middelen van een bedrijf goed beschermd worden. Dit doet hij of zij door een duidelijke visie en strategie op te stellen op het gebied van informatiebeveiliging en deze te onderhouden.
Een gedegen risico analyse ligt ten grondslag aan de beslissingen over de maatregelen die genomen dienen te worden en op welke gebieden moet worden geïnvesteerd. Eventuele restrisico’s worden op een andere manier ‘gemanaged’, door deze simpelweg te accepteren, door activiteiten op te schorten en daarmee het risico te vermijden, of door ervoor te kiezen de risico’s af te dekken door middel van een verzekering.
Omdat het gebruik van technologie en informatiesystemen tegenwoordig wijdverbreid is en bijna iedereen wel gebruik maakt van informatie technologie (IT) voor het uitvoeren van de werkzaamheden, is de CISO betrokken bij grote delen van de organisatie. De CISO is zich bewust van hetgeen verschillende bedrijfsonderdelen doen en wat ze nodig hebben om productief te zijn. Met de snelle opkomst van thuiswerken is daar nog een extra uitdaging bijgekomen.
Een typische CISO heeft niet per se een technische achtergrond, al kan dat wel. Vaak beschikt de CISO over bepaalde niet-technische certificeringen, maar is hij of zij ook bedreven in het managen van het opgestelde security programma en het eventueel managen van de uitvoering van verschillende deelprojecten.
Het is belangrijk dat een CISO over een mandaat beschikt, hij of zij opereert tenslotte op ‘C-level’. In de ogen van de CISO noodzakelijk geachte investeringen moeten immers worden gedaan en voor de vereiste projecten moet capaciteit worden vrijgemaakt. De CISO beheert dus ook een eigen budget.
Op internet zijn verschillende zogenaamde ‘CISO-mindmaps’ in omloop, met daarop een in meer of minder detail beschreven samenvatting van de overige taken en rollen van een CISO. Denk daarbij aan het mede bepalen van de security architectuur, betrokkenheid bij de inrichting van de dagelijkse security operations, zorgen voor compliance met bepaalde standaarden als ISO 27001, of wetgeving, waaronder de AVG. Maar ook het motiveren van collega’s om aan de slag te gaan met informatie beveiliging en draagvlak te creeren voor genomen maatregelen. Of ook wel; het ‘verkopen’ van ‘InfoSec’ binnen de organisatie.
Kortom; de CISO is een ware duizendpoot binnen de organisatie. Dat maakt het vaak lastig om medewerkers te vinden die alle onderdelen van de skillset van de CISO beheersen. Als dit wel het geval is, dan is er vaak ook een bepaalde technische ondersteuning nodig. Zoals we al benoemden, beschikt een CISO vaak niet over een technische achtergrond.
Dit heeft geleid tot de opkomst van de ‘Virtual CISO’. In plaats van investeren in het aannemen of anderszins inhuren van een fulltime CISO, of het omscholen van een huidige medewerker tot een volwaardige CISO, waar veel tijd mee gemoeid gaat, wordt er externe hulp ingeschakeld. De virtuele CISO kan zowel de aanwezige CIO of IT manager ondersteunen op deelgebieden, dienen als vaste vraagbaak of de regie over de opgestelde informatie security strategie nemen. Uiteraard kan er ook ondersteund worden om in de eerste plaats tot een dergelijke strategie te komen.
Het voordeel van de virtuele CISO, of zoals we hem of haar bij StackSecure noemen, de CISO as a Service (CISaaS), is dat deze direct kan beginnen met het maken van plannen en het doorvoeren van verbeteringen. De CISaaS heeft immers ruime ervaring in het werkveld en is op de hoogte van de laatste ontwikkelingen. Daarnaast wordt de vast contactpersoon op de achtergrond ondersteund door een team van specialisten met brede kennis over verschillende aspecten binnen het werkveld van de informatiebeveiliging.
Heeft je organisatie al een CISO in dienst, of ben jij zelf de CISO? Maar is er behoefte aan ondersteuning op bepaalde (specialistische) deelgebieden? Dan laten we de C gewoon voor wat deze is en gaan we graag voor je aan de slag als Information Security Officer... as a Service welteverstaan!
Voor het correct functioneren, optimaliseren van deze website en t.b.v. commerciële doeleinden maakt StackSecure gebruik van cookies. Meer hierover kunt u lezen in ons privacy statement