Waarom de CISO een aparte rol moet hebben binnen élke moderne organisatie
De wereld om ons heen digitaliseert in rap tempo. Vanaf maart 2020 heeft digitalisering noodgedwongen een nog sterkere vlucht genomen. Dit heeft de nodige implicaties op securitygebied: vertrouwelijke informatie kan gemakkelijker op straat komen te liggen. Of je digitalisering nu leuk vindt of niet, je móet zorgen dat je informatiebeveiliging op orde is. En daarvoor heb je een expert nodig: de CISO.
Informatiebeveiliging: verregaande implicaties
Een tijdje geleden waren clouddiensten een unicum, maar vandaag de dag vertegenwoordigen ze dé manier van werken. De vraag is niet meer of je naar de cloud overstapt, maar hoe snel je dat doet. Dit betekent dat de eigen IT-organisatie met een groot datacenter en servers tot het verleden behoort. Tegenwoordig heb je te maken met buitenlandse (vaak Amerikaanse) aanbieders en andere regelgeving. Wat betekent dit voor jouw data? Moet je bepaalde maatregelen treffen om hiermee om te gaan?
Die laatste vraag doemt ook op wanneer het gaat om wet- en regelgeving waar je als organisatie aan dient te voldoen. 'Compliance' is een sleutelwoord: je moet kunnen aantonen dat je je houdt aan bepaalde wetten en regels. Verspreid je een filmpje waarin een directielid voorlichting geeft over privacywetgeving? Mooi, maar daar mag het niet bij ophouden! Alle medewerkers binnen de organisatie moeten de regels kennen en zich daar ook echt naar gedragen. Worden uitgeprinte documenten bijvoorbeeld opgehaald met een kliko? Dan dient de bewuste medewerker te begrijpen dat het hier om vertrouwelijke informatie gaat. Ook dát is een onderdeel van informatiebeveiliging.
CISO: scherp blijven en continu verbeteren
De CISO is een gezicht dat de veiligheid van informatie belichaamt. Hebben medewerkers vragen over dit onderwerp, dan weten zij wie hun aanspreekpunt is. De CISO fungeert tevens als verbindende factor tussen medewerkers en directie: hij loopt met een auditchecklist de organisatie in, bekijkt hoe de zaken in de praktijk verlopen en rapporteert hierover op directieniveau.
Daarnaast is de CISO altijd op zoek naar manieren om de werkwijze te verbeteren en aan te scherpen. Voldoet je organisatie aan een bepaalde norm? Fijn, maar de CISO weet dat het werk daarmee niet af is. De wereld verandert continu en daarom houdt de CISO ontwikkelingen nauwlettend in de gaten.
Is het tijd om een nieuw product aan te schaffen, bijvoorbeeld om te communiceren op afstand? Dan draait de CISO mee in de selectie van het product om te bepalen of het aan de juiste voorwaarden voldoet.
Download hier de brochure over Security Awareness
Informatie vloeit alle kanten uit: tijd voor focus!
Nu het speelveld een stuk breder is dan vroeger, moet je alles zo concreet mogelijk maken. De kunst is om over te dragen hoe belangrijk informatiebeveiliging is. Iedereen binnen de organisatie moet begrijpen dat een grote digitale muur (de roemruchte firewall) om jouw IT-omgeving niet meer afdoende is. Wanneer je clouddiensten gebruikt, staan jouw data immers al buiten de deur. En dergelijke diensten maken het eenvoudig om data vanuit hun platform te delen. Datastromen vloeien zo in alle richtingen en doen dat ook nog eens steeds sneller. Logisch, want de bijbehorende technologie ontwikkelt zich continu. Bovendien werken steeds meer organisaties structureel samen: er is een heus partnerlandschap aan het ontstaan.
Wet- en regelgeving wordt hier in toenemende mate op afgestemd. De overheid neemt zaken als e-privacy in een digitale wereld uiterst serieus. En dat moet jij als organisatie ook doen. Maar waar haal je de tijd en expertise vandaan? En hoe zorg je voor de juiste focus?
Het antwoord komt in de vorm van een expert die een aparte rol vervult binnen de organisatie: de CISO.
Vertrouwen formaliseren? Dát doet de CISO
Het takenpakket van de CISO is zó veelomvattend dat een medewerker dit niet 'even ernaast' kan doen. De domeinen van gedrag, techniek en veiligheid zijn daar nu eenmaal te uitgebreid voor. Bovendien vergt het werk van een CISO expertise. Een goede CISO heeft kennis van normen en kan vertellen wat de risico's zijn in een taal die aankomt bij de doelgroep. Ook weet hij glashelder te definiëren waar je organisatie staat en naartoe wil.
Laat je de CISO-rol oppakken als nevenfunctie, dan is het vaak een kwestie van tijd voordat je in de problemen komt. Een voorbeeld: de Autoriteit Persoonsgegevens wordt steeds strenger. Is je informatiebeveiliging niet op orde en krijg je te maken met een datalek? Dan staan daar flinke sancties tegenover. Denk niet alleen aan de geijkte boete, die flink kan oplopen. Je komt ook met naam en toenaam in de media — met de nodige reputatieschade tot gevolg.
Bedenkt dat commercie en vertrouwen steeds meer met elkaar verweven zijn. Je kan wel aan klanten, partners en leveranciers vertellen dat je heel secuur werkt, maar als je dit niet kan laten zien, zijn je woorden weinig waard. Het punt is dat vertrouwen steeds meer wordt geformaliseerd — en als organisatie moet je heel goed onderzoeken hoe jij daar het best invulling aan kan geven.
Daarom heb je iemand nodig die alle aspecten van informatiebeveiliging binnen én buiten je organisatie met elkaar verbindt. En die vervolgens kan aantonen hoe jij de zaken organiseert en oplost. Kortom, je kan eigenlijk niet meer zonder een CISO.
Er is dan ook een toename in het aantal CISO's dat wordt aangenomen. Sluit jij je bij deze ontwikkeling aan?