Ik verkondig al jaren dat Information Security Officer (ISO) een sneu beroep is. Je hebt veel verstand van informatiebeveiliging, van de techniek erachter, van de criminele praktijken die de organisatie kunnen bedreigen, van normen en van wetten. Je functie is opgehangen op een onduidelijke plek in de organisatie, ‘staffunctionaris’ of zoiets, je hebt geen budget, geen personeel en geen mandaat om iets te doen of te verbieden. En als er iets mis gaat in de informatiebeveiliging, waar dan ook in de organisatie, blijk je wel verantwoordelijk te zijn! Ernstige bedreigingen waar je als ISO niets aan zou kunt doen, zoals laatst het Citrix debacle, krijg je toegeschoven en moet je op de televisie uitleggen.
Vrijblijvende adviezen
Veel ISO’s die ik tegenkom beperken de invulling van hun rol tot vrijblijvende adviezen en het nalopen van checklists, zoals de NEN 7510, de ISO 27001 of de BIO. Prachtige normen die beschrijven hoe de informatiebeveiliging van respectievelijk een zorginstelling, een bedrijf of een gemeente hoort te zijn ingericht.
De ISO beheert het ISMS, het Information Security Management System. Eigenlijk is dat niet veel meer dan een lijst punten uit de norm waarin jaarlijks wordt bijgehouden of de organisatie eraan voldoet, welke actiepunten er eventueel genomen moeten worden en door wie. De lijst ligt meestal in een lade, maar kan ook bestaan als een duur computerprogramma met veel kleurtjes.
AVG
De komst van de AVG heeft de functie wel veel meer gewicht gegeven. In artikel 32 van de AVG staat immers beschreven dat persoonsgegevens beveiligd moeten worden middel ‘passende technische en organisatorische maatregelen’ en dat aangesloten mag worden bij ‘een gedragscode of goedgekeurd certificeringsmechanisme’. In de zorg wordt daarmee de NEN 7510-familie bedoeld, die dan ook nog eens door de overheid specifiek verplicht is gesteld voor alle zorginstellingen en zorgverleners.
De AVG is daarmee een belangrijke reden geworden voor bestuurders, directeuren en managers van zorginstellingen om zich wel gaan interesseren voor informatiebeveiliging. De Functionaris Gegevensbescherming (FG) adviseert ook om dat te doen en die rapporteert helder aan de bestuurders en directeuren als het aan de informatiebeveiliging schort. De FG mag daarbij streng kijken en dat helpt blijkbaar.
CISO in plaats van ISO
Zo’n FG is niet degene die over voldoende kennis beschikt om de informatiebeveiliging handen en voeten te geven, dat is de ISO. En omdat die belangrijker gevonden wordt, heet deze tegenwoordig steeds vaker CISO, Chief Information Security Officer. De toevoeging Chief geeft autoriteit maar niet meer personeel of mandaat en preventieve maatregelen nemen is nog steeds te duur.
Het valt mij op dat directies van zorginstellingen er steeds vaker voor kiezen een CISO in dienst te nemen in plaats van vertrouwen op een deskundige extern adviseur. Persoonlijk vind ik dat natuurlijk jammer, maar als dat voortkomt uit beleidsverbetering is dat helemaal prima, verstandig zelfs. Helaas zijn het bijna altijd CISO’s die nog in opleiding zijn, lekker goedkoop maar nog met een beperkte kennis en ervaring, en verder geen personeel, budget of mandaat.
Wat hebben de ontwikkelingen van de laatste jaren ons dus gebracht? De ISO is CISO geworden, de rest is ongeveer hetzelfde gebleven. Sneu.
Berend,
Wanneer is CISO zijn geen sneu beroep? Als je makkelijk meewerking krijgt?
Mvg
Tobias
Berend, de sneue CISO is zeker een breed verbreid fenomeen. Sla het onderzoek van CIP/UWV er maar eens op na.
Alleen die moet die CISO niet klagen maar in de spiegel kijken: wil mijn directie/bestuurder wel echt zijn informatierisico’s beheersen, echte informatieveiligheid en echte privacy? Kán ik wel iets bijdragen daarin? Als het antwoord nee is dan verdienen beide beter: die directie verdient een stevig incident, de CISO verdient een betere opdracht.
Ter inspiratie raad ik aan het lied ‘Zeur niet’ gezongen door Conny Stuart eens goed te beluisteren.