CISO zichtbaarheid draagvlak
09.12.2020

Zo werk je als Chief Information Security Officer (CISO) toe naar meer zichtbaarheid en draagvlak

De CISO vervult een steeds belangrijkere rol binnen de Nederlandse gemeentes. De functienaam Chief Information Security Officer zou niet misstaan in een James Bond-film. De invulling kán net zo boeiend zijn als die van een geheim agent, maar als CISO heb je zichtbaarheid en draagvlak nodig in de organisatie om vervolgens bestuursleden te kunnen overtuigen van jouw inzichten. En dat terwijl informatieveiligheid razendsnel belangrijker wordt. Poeh beste CISO, ga er maar aan staan. Hoe ga je hiermee om? Wij vroegen een aantal CISO’s van diverse gemeenten om praktische tips waar jij je voordeel met kunt doen voor meer zichtbaarheid en draagvlak uit de praktijk.

Noodzaak van de CISO aan de orde van de dag

We leven in een tijd waarin datalekken en cyberaanvallen de horrorscenario’s vormen voor zo ongeveer elke organisatie. Goede informatiebeveiliging is noodzaak geworden. Mooi! Want daaruit blijkt dat óók collega’s zich steeds meer bewust worden van het belang van informatieveiligheid. Meer goed nieuws: die bewustwording levert vraagstukken op. Want hoe je het wendt of keert; een vraagstuk dat informatieveiligheid raakt, leidt in de meeste gevallen tot een verbetering in de organisatie. Jij als CISO ondersteunt, adviseert en begeleidt de proceseigenaar naar die verbetering.

Optimale zichtbaarheid voor jou als CISO

Een goede CISO is zichtbaar en toegankelijk, maar hoe creëer je zichtbaarheid? Sowieso door een actieve rol aan te nemen, en met behulp van:

  • Kennis sessies organiseren;
  • Met regelmaat rapporteren over stand van zaken en risico’s;
  • Investeren in relatie met collega’s;
  • Fysiek zichtbaar zijn.

Kennis sessies informatiebeveiliging en privacy 

Een effectieve manier om jouw zichtbaarheid in de organisatie te vergroten is het organiseren van sessies waarin er kennis wordt gedeeld over informatiebeveiliging en privacy. Denk hierbij aan een Awareness training of een workshop informatiebeveiliging aan alle medewerkers, college en directie.

Periodiek rapporteren naar directie en bestuur

Periodiek rapporteren over de stand van zaken en risico’s aan directie en bestuur draagt enorm bij. Ook de tijd en aandacht nemen om uit te leggen waarom je iets wilt laten gebeuren is effectief. Dan lukt het zelfs om minder populaire maatregelen door te voeren.

“Naast kennissessies deel ik veel nieuwsberichten over diverse onderwerpen binnen informatiebeveiliging. Bewustwording zit in de kracht van de herhaling.”

CISO van een gemeente uit de regio Drenthe

Fysiek zichtbaar zijn en investeren in relatie

Richting de collega’s op de werkvloer draagt fysiek zichtbaar zijn ook goed bij. Langslopen bij collega’s, een praatje maken en daarnaast maatregelen meegeven. Daarmee kweek je ook goodwill voor je maatregelen.

“Door maatregelen te bespreken voor je ze aankondigt landen ze vaak veel beter. Neem ze mee in jouw rol en daarmee de noodzaak om jou als CISO tijdig aanhaken. Tijdens deze periode van thuiswerken door corona is zichtbaarheid lastiger. Dit hebben we opgelost door de campagne die we al gepland hadden iets meer op zenden in te zetten. Dit doen wij onder andere door posters als PDF bestand te verspreiden op het intranet en daarnaast vaker de telefoon pakken om een collega te bellen.”

Jetse Fluitman, CISO Vijfheerenlanden

Realiseer draagvlak door een actieve rol, heldere taal en zichtbaar maken van risico’s

Als CISO heb je een onafhankelijke functie en geeft objectieve adviezen over informatieveiligheidsmaatregelen. Het liefst gebeurt dit midden in de organisatie, zodat er een brug ontstaat tussen processen en mensen. Door actief te zijn en aan te sluiten op de expertise van collega’s neem je ze gericht en op een aansprekende wijze mee in de wereld van informatiebeveiliging. Regels opleggen kan en is soms nodig, daarnaast kun je de procesverantwoordelijken ook zelf laten nadenken.

Heldere taal

“Informeer zo helder mogelijk: in Jip en Janneke taal. Door jouw kennis van IT en informatiebeveiliging loop je het risico om bijvoorbeeld richting het bestuur teveel vaktermen en ingewikkelde taal te spreken met als gevolg dat een bestuurder afhaakt en je hem of haar dan niet mee krijgt.”

Eddie Franke, CISO Borger-Odoorn

“Door uitleg te geven aan collega’s en daarbij concrete uitvragen te doen maak je helder wat je van mensen vraagt. Dit vraagt meer van jou als CISO aan de voorkant, maar levert uiteindelijk tijdwinst op. Collega’s gaan op een gegeven moment de meerwaarde van hun inzet zien. Kanttekening daarbij is wel dat je moet blijven waken dat je niet het werk overneemt van de proceseigenaren.”

Melcher Westerhof, CISO Westerkwartier

Voorbeelden van risico’s voor bewustwording en urgentie

“Draagvlak creëer je vooral door de risico’s in beeld te brengen, op die manier probeer je ook de bestuursleden te overtuigen.”

CISO van een gemeente uit de regio Drenthe

De ransomware situatie bij de universiteit van Maastricht, de Citrix crisis en de thuiswerksituatie vanwege Corona hebben enorm bijdragen aan de bewustwording organisaties en daarmee het draagvlak voor informatiebeveiliging.

“In eerste instantie gaf ik vooral ongevraagd advies, maar nu weten collega’s mij te vinden. De incidenten van de afgelopen paar jaar zijn van grote waarde geweest om de organisatie inzicht te geven in de risico’s. Het Citrix incident dat begin dit jaar de landelijke pers haalde hielp mij om mensen te overtuigen dat het geen ver-van-je-bed -show is. Security incidenten zijn een reëel risico en daar moeten we wat mee.” 

Jetse Fluitman, CISO Vijfheerenlanden

Ons advies is daarom om dergelijke situaties aan te grijpen en directie, college en raad regelmatig te informeren. Wanneer een dergelijke situatie zich voordoet kun je als CISO of team de lead pakken en advies uitbrengen naar de directie. Tegelijkertijd kun je als CISO de maatregelen die genomen worden, uitleggen aan collega’s en leveranciers.

In het volgende deel van dit artikel gaan we in op jouw positie claimen als CISO en het grip krijgen op IT-budget.

Neem contact op

Nog even verder praten over jouw uitdagingen als CISO, of ben je benieuwd naar hoe we jou óf jouw organisatie verder kunnen helpen met tools of advies? Neem contact op via 085 30 30 279 of stuur een e-mail.