Wie is verantwoordelijk voor de beveiliging van bedrijfsgegevens?

Steeds meer organisaties nemen een hoofdverantwoordelijke aan voor de beveiliging van bedrijfsgegevens. KPN en PostNL hebben al een chief information security officer (ciso) in dienst. Hoe vind ook jij de juiste ciso?

Door de opkomst van mobiele apparaten en het delen van bedrijfsinformatie via internet wordt informatiebeveiliging steeds belangrijker. Voor zowel grote als kleine bedrijven is de kans dat bedrijfsgevoelige informatie weglekt steeds groter. Criminelen azen op die informatie en medewerkers zijn zich nauwelijks bewust van de risico’s van onzorgvuldig handelen en de gevolgen van bedrijfsinformatie die op straat komt te liggen. Bijvoorbeeld als personeel informatie deelt via slecht beveiligde systemen of niet ondersteunde middelen zoals dropbox, externe harde schrijven of usb-sticks.

Die verantwoordelijkheid voor de beveiliging van bedrijfsgegevens ligt bij veel bedrijven bij ict-verantwoordelijken, zoals cio’s (chief information officers). Maar zij hebben vaak meerdere ict- projecten, -problemen en -plannen aan hun hoofd waardoor de aandacht voor informatiebeveiliging ondergesneeuwd raakt. Bovendien zijn veel netwerken met de komst van mobiel werken veel complexer en uitgebreider dan enkele jaren geleden het geval was. Meer apparaten en een toename in het delen van informatie betekent ook meer risico op dataverlies. Het is dus slechts een kwestie van tijd totdat meer grote organisaties een chief information security officer (ciso) aannemen. Maar wat is een ciso eigenlijk en aan welke eisen moet zo’n werknemer voldoen?

Wat doet een ciso?

De ciso heeft de touwtjes in handen als het gaat om alle aspecten van databeveiliging van een bedrijf. Hij of zij speelt inmiddels een centrale rol in het beheren van alles dat binnen een organisatie met veiligheid te maken heeft. Zijn rol gaat verder dan het definiëren van standaarden binnen het veiligheidsbeleid van een bedrijf.

AdvertorialDe toekomst van het nieuwe werken

Een ciso moet adequaat kunnen handelen bij datalekken en stelt bijvoorbeeld een reactieplan op. Het is zijn verantwoordelijkheid dat een lek geen ernstigere gevolgen heeft dan nodig. Idealiter vindt dat lek helemaal niet plaats en schuift een ciso al in de ontwerpfase van nieuwe apps en systemen aan, zodat op dat moment al rekening wordt gehouden met beveiligingsrisico’s. Daarmee kan een hoop schade voorkomen worden.

Verantwoordelijkheden en budget

De realiteit is weerbarstiger. In de praktijk kan het gebeuren dat systemen worden gehackt. Het is dan van belang dat de verantwoordelijkheden duidelijk vastliggen en een ciso het mandaat heeft om direct op te treden. Dat betekent ook dat hij zowel de verantwoordelijkheid als het budget krijgt om snel en efficiënt te reageren. Daarnaast speelt hij zoals gezegd een adviserende rol of in bestaande of toekomstige ict-investeringen.

Ciso functieprofiel

Het vakgebied is nog niet vastomlijnd en verschilt uiteraard per branche of organisatie. Maar om taken en verantwoordelijkheden inzichtelijk te krijgen biedt de handreiking functieprofiel ciso van Informatie Beveiligings Dienst (IBD) voor gemeenten een handig overzicht. Een paar suggesties wat tot het takenpakket van een ciso hoort:

 

  1. Verantwoordelijk voor het opstellen, bijstellen, vernieuwen en herzien van het informatiebeveiligingsbeleid en de daaruit voortvloeiende informatie (beveiligings-)plannen.
  2. Optreden als informatiebeveiligingsadviseur (voor het management) bij nieuwe ict- voorzieningen en bij ingrijpende veranderingen in de ict-infrastructuur.
  3. Adviseren van het (lijn)management bij de uitwerking van het informatiebeveiligingsbeleid in plannen voor hun verantwoordelijkheidsgebieden, en bij de implementatie van deze plannen.
  4. Initiëren of laten uitvoeren van periodieke beveiligingsaudits, risico-, afhankelijkheids- en kwetsbaarheidsanalyses.
  5. Coördineren en adviseren bij beveiligingsincidenten en zo nodig optreden bij calamiteiten.
  6. Op de hoogte blijven van ontwikkelingen op het gebied van informatiebeveiliging en zo
    nodig met voorstellen komen voor aanvullingen of verbeteringen van producten,
    methodieken of werkwijzen met betrekking tot de informatiebeveiliging.
  7. Opzetten en initiëren van (periodieke) informatiebeveiligingsbewustzijnsprogramma’s en adviseren over voorlichting en training van gebruikers in het correct omgaan met informatie(systemen).
  8. Te allen tijde een open deur hebben voor de gebruikersorganisatie indien deze, buiten de hiërarchie om, een beveiligingsincident wil melden. Bij voorkeur is de ciso het formele, en bij iedereen in de organisatie bekende, aanspreekpunt voor informatiebeveiligingszaken.
  9. Projecten leiden die als doel hebben beveiligingsmaatregelen te implementeren of de kwaliteit van de beveiliging op langere termijn te handhaven en waar nodig te verbeteren.
  10. Controleren van de werking en naleving van het informatiebeveiligingsbeleid en daaruit voortvloeiende maatregelen.
  11. Periodiek rapporteren van beveiligingsincidenten en de afhandeling daarvan aan de portefeuillehouder.
  12. Rapportages op het gebied van de beveiliging laten beoordelen.

Benodigde opleiding en competenties

Ieder bedrijf bepaalt uiteraard de eigen richtlijnen waaraan ‘hun’ ciso moet voldoen. Maar in het verlengde van het functieprofiel van de IBD worden een aantal eisen wel aangeraden. Zo moet een ciso beschikken over minimaal HBO/Academisch werk- en denkniveau en veel kennis en ervaring hebben op het gebied van bedrijfskunde en informatica. Tevens is het belangrijk dat de ciso kennis van de actuele stand van zaken en mogelijkheden van de huidige ict heeft, zoals besturingssystemen, netwerken, standaarden, ontwikkel- en beheermethoden. Ook ervaring op het gebied van informatiebeveiliging en risicoanalysemethoden behoren tot de bagage die een ciso meeneemt bij zijn aanstelling. Tot slot worden de competenties ‘integer’, ‘overtuigingskracht’ en ‘bereid tot permanente scholing’ als belangrijk genoemd.

Lees ook: