Information Security Officer: een sneu beroep

Information Security Officer (ISO), Berend de Vries vindt het een sneu beroep. Degene die de functie bekleedt heeft veel verstand van zaken, maar geen mandaat om iets te doen of verbieden. ‘En als er iets mis gaat in de informatiebeveiliging, blijk je wel verantwoordelijk te zijn!’

Artikel bewaren

U heeft een account nodig om artikelen in uw profiel op te slaan

Login of Maak een account aan
Berend de Vries

Ik verkondig al jaren dat Information Security Officer (ISO) een sneu beroep is. Je hebt veel verstand van informatiebeveiliging, van de techniek erachter, van de criminele praktijken die de organisatie kunnen bedreigen, van normen en van wetten. Je functie is opgehangen op een onduidelijke plek in de organisatie, ‘staffunctionaris’ of zoiets, je hebt geen budget, geen personeel en geen mandaat om iets te doen of te verbieden. En als er iets mis gaat in de informatiebeveiliging, waar dan ook in de organisatie, blijk je wel verantwoordelijk te zijn! Ernstige bedreigingen waar je als ISO niets aan zou kunt doen, zoals laatst het Citrix debacle, krijg je toegeschoven en moet je op de televisie uitleggen.

Vrijblijvende adviezen

Veel ISO’s die ik tegenkom beperken de invulling van hun rol tot vrijblijvende adviezen en het nalopen van checklists, zoals de NEN 7510, de ISO 27001 of de BIO. Prachtige normen die beschrijven hoe de informatiebeveiliging van respectievelijk een zorginstelling, een bedrijf of een gemeente hoort te zijn ingericht.

De ISO beheert het ISMS, het Information Security Management System. Eigenlijk is dat niet veel meer dan een lijst punten uit de norm waarin jaarlijks wordt bijgehouden of de organisatie eraan voldoet, welke actiepunten er eventueel genomen moeten worden en door wie. De lijst ligt meestal in een lade, maar kan ook bestaan als een duur computerprogramma met veel kleurtjes.

AVG

De komst van de AVG heeft de functie wel veel meer gewicht gegeven. In artikel 32 van de AVG staat immers beschreven dat persoonsgegevens beveiligd moeten worden middel ‘passende technische en organisatorische maatregelen’ en dat aangesloten mag worden bij ‘een gedragscode of goedgekeurd certificeringsmechanisme’. In de zorg wordt daarmee de NEN 7510-familie bedoeld, die dan ook nog eens door de overheid specifiek verplicht is gesteld voor alle zorginstellingen en zorgverleners.

De AVG is daarmee een belangrijke reden geworden voor bestuurders, directeuren en managers van zorginstellingen om zich wel gaan interesseren voor informatiebeveiliging. De Functionaris Gegevensbescherming (FG) adviseert ook om dat te doen en die rapporteert helder aan de bestuurders en directeuren als het aan de informatiebeveiliging schort. De FG mag daarbij streng kijken en dat helpt blijkbaar.

CISO in plaats van ISO

Zo’n FG is niet degene die over voldoende kennis beschikt om de informatiebeveiliging handen en voeten te geven, dat is de ISO. En omdat die belangrijker gevonden wordt, heet deze tegenwoordig steeds vaker CISO, Chief Information Security Officer. De toevoeging Chief geeft autoriteit maar niet meer personeel of mandaat en preventieve maatregelen nemen is nog steeds te duur.

Het valt mij op dat directies van zorginstellingen er steeds vaker voor kiezen een CISO in dienst te nemen in plaats van vertrouwen op een deskundige extern adviseur. Persoonlijk vind ik dat natuurlijk jammer, maar als dat voortkomt uit beleidsverbetering is dat helemaal prima, verstandig zelfs. Helaas zijn het bijna altijd CISO’s die nog in opleiding zijn, lekker goedkoop maar nog met een beperkte kennis en ervaring, en verder geen personeel, budget of mandaat.

Wat hebben de ontwikkelingen van de laatste jaren ons dus gebracht? De ISO is CISO geworden, de rest is ongeveer hetzelfde gebleven. Sneu.

2 REACTIES

  1. Lees alle reacties
  2. Berend, de sneue CISO is zeker een breed verbreid fenomeen. Sla het onderzoek van CIP/UWV er maar eens op na.
    Alleen die moet die CISO niet klagen maar in de spiegel kijken: wil mijn directie/bestuurder wel echt zijn informatierisico’s beheersen, echte informatieveiligheid en echte privacy? Kán ik wel iets bijdragen daarin? Als het antwoord nee is dan verdienen beide beter: die directie verdient een stevig incident, de CISO verdient een betere opdracht.
    Ter inspiratie raad ik aan het lied ‘Zeur niet’ gezongen door Conny Stuart eens goed te beluisteren.

Geef uw reactie

Om te kunnen reageren moet u ingelogd zijn. Heeft u nog geen account, maak dan hieronder een account aan. Lees ook de spelregels.