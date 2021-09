De functie van Chief Information Security Officer (CISO) is sterk in opkomst bij gemeenten. Waar deze nog niet aan de slag is, staat vaak een vacature uit. Om te voldoen aan de basisnormen voor informatieveiligheid in de publieke sector is zo’n CISO dan ook hard nodig. Tijd voor een blik op de reikwijdte en toekomstige vaardigheden van de CISO.

Drie perspectieven bepalend

1. Conversaties op directieniveau

Op directieniveau dient de CISO een overzicht van en inzicht in de grootste cyberrisico’s te verschaffen. Dat inzicht moet een afspiegeling zijn van relevante bronnen van informatiebeveiliging en risico-informatie binnen en buiten de gemeente. Idealiter wordt de impact ervan uitgedrukt in economische termen. Maar het gaat evenzeer om maatschappelijk verantwoord ondernemen (MVO) en doelstellingen inzake duurzame ontwikkeling (SDGs).

De CISO is daarbij verantwoordelijk voor de nauwkeurigheid en betrouwbaarheid van de brongegevens. Indien er niet voldoende zorg wordt gedragen voor data, digitalisering, risico’s en beveiliging, val je als gemeente of organisatie uit de toon.

2. Conversaties op managementniveau



De hoofdverantwoordelijkheid van managers als het om informatieveiligheid gaat, is dat de belangrijkste waarden in het DNA van de organisatie komen: beveiliging, risicobewustzijn, verantwoordelijkheidszin, leiderschap en vakmanschap. De CISO is als een dokter die constant diagnoses stelt, bepaalt wie een aangepaste behandeling nodig heeft en helpt beslissingen te nemen. Denk aan systeem- of dataeigenaren van de gemeentelijke basisadministratie, die ‘eigenaarschap’ nemen over ‘hun’ systemen en nadenken over voldoende beveiliging en budgetruimte.



3. Conversaties op operationeel niveau



Hier gebeurt de implementatie van cybersecurity. Het grootste probleem voor organisaties van redelijke omvang met een hoge mate van IT, is het dynamisch afstemmen van de technologie op cyberdreigingen. ‘Smart cities’ moeten bij het verzamelen van burgerdata rekening houden met AVG-eisen, die vaak technische maatregelen voorschrijven. Uit onderzoek van Antwerp Management School blijkt dat een ruime meerderheid niet aan die eisen voldoet. Na twee jaren implementatie van de Europese verordening lijken informatiebeveiliging en bijbehorende maatregelen het meest uitdagend. ‘Voldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen,’ zo vatten de onderzoekers de wettelijke eisen samen.

Organisaties moeten de informatiebeveiliging waarborgen in overeenstemming met hun capaciteiten, middelen en beschikbare technologieën. Dit geeft niet per se inzicht in wat ze moeten doen en hoe ze dat moeten doen om hun gegevens te ‘beveiligen’. Het gaat vooral om kennis en kunde.

Vaardigheden van toekomstige Cyberleider

De competenties van de CISO strekken zich langzamerhand uit tot die van econoom, talentmagneet en orkestrator met een duidelijke visie op hoe je omgaat met de valkuilen op elk van de drie niveaus.



Econoom omdat de CISO moet kunnen vertrouwen op gedetailleerde, betrouwbare brongegevens om het cyberrisico te kunnen bepalen in de context van andere risico’s. En daarbij in staat moet zijn de voordelen te schetsen die de kosten opleveren. De CISO moet het gemeenbestuur kunnen uitleggen welke investeringen in cybersecurity het meest opleveren, gebaseerd op feiten en cijfers.



Talentmagneet wegens de voortdurende oorlog om talent wat beveiligingsspecialisten betreft. Uit onderzoek blijkt dat beroepen in digitale veiligheid wereldwijd een substantiële groei doormaakten afgelopen jaar, oplopend tot 3,5 miljoen werknemers (700.000 professionals extra). Dat is een kwart méér dan vooraf geschat. Gegevens suggereren dat het aanbod van deze functiegroepen met bijna 90 procent wereldwijd moet groeien om de ‘talentkloof’ te dichten.

Orkestrator omdat ‘risico’s van en door derden’ het grootste risico vormen voor platformgebaseerde bedrijfsmodellen die werken binnen een ‘ecosysteem’ van internetdiensten. Dit betekent dat de CISO de beveiliging van de hele keten dient te orkestreren om een compleet zicht te krijgen op de doeltreffendheid. Denk hierbij aan DigiD-connecties of de lijnen met UWV en SVB. In mijn laatste boek geef ik 10 succesvolle strategieën om overheidsplatformen beter te beveiligen.



Door de drie rollen van de CISO doeltreffend in te vullen kun je relevante conversaties hebben met alle belanghebbenden, ongeacht het organisatieniveau of de onderwerpen. CISO’s die duidelijk kunnen maken welk cybersecuritybeleid het meeste oplevert, zullen de harten van hun bestuurders weten te winnen.

Prof.dr. Yuri Bobbert is Academisch Directeur van de Business & IT Masters bij Antwerp Management School

