Het beroep van de Chief Information Security Officer (CISO) staat nergens wettelijk beschreven, is niet verplicht en heeft geen beschermde status. Het Centrum voor Informatiebeveiliging en Privacybescherming (CIP) onderzocht met een enquête hoe CISO’s binnen de overheid hun rol invullen en hoe zij en een aantal bestuurders tegen het vak aankijken. iBestuur sprak vier CISO’s over hun dagelijkse werkzaamheden en verantwoordelijkheden en hun wensen voor de toekomst. "Iedereen weet dat klikken op het verkeerde kan leiden tot phishing, malware en virussen."
Beeld: Shutterstock
De CISO is gemiddeld 55 jaar oud, heeft decennia aan werkervaring bij bedrijfsleven of overheid, maar pas relatief kort in de huidige functie. Van de ondervraagden vervult 80 procent de rol korter dan 5 jaar, maar 60 procent heeft een verleden in informatiebeveiliging van 6 jaar of langer. Vrijwel iedereen heeft een aanvullende opleiding gevolgd op het gebied van informatiebeveiliging. Van alle ondervraagden rapporteert 68 procent aan een bestuurder of directeur. Steeds minder vaak valt de CISO onder de IT-afdeling of CIO (32 procent) en volgens de geïnterviewden is dat een uitstekende ontwikkeling.
Frans Hut is CISO van de gemeente Haarlem: “Informatiebeveiliging gaat over menselijk gedrag, technologie, bewustwording, fysieke veiligheid, toezicht. Alles hangt aan elkaar.” Om een dergelijke functie onder ICT te scharen zou te beperkt zijn. Het woord informatiebeveiliging is ook eigenlijk incorrect vertaald uit het Engels, legt Jaap Halfweeg uit, CISO van de Sociale Verzekeringsbank (SVB). “Information security gaat over het ‘securen’ van informatie in de zin van ‘veilig borgen’, Risicobeheer dus: wat zijn de risico’s, wat zijn de bedreigingen en wat zijn de maatregelen die genomen kunnen worden.” Henk de Bie is CISO bij de Nederlandse Voedsel- en Warenautoriteit (NVWA). Hij zegt: “Beveiliging klinkt als bewaker van sloten en hekken, maar wat een CISO doet is de bedrijfsvoering borgen. Een risico is een gebeurtenis die een organisatie negatief kan treffen en dat heeft altijd raakvlakken met andere zaken naast ICT. Bijvoorbeeld, de NVWA heeft systemen die export en import faciliteren. Als die niet functioneren, dan ligt de export van Nederland plat. Dat lijkt een ICT-feestje, maar ik moet wel zorgen dat de export doorgaat.”
IB als bijzaak
Volgens CISO Jeroen Simon van de Brabantse Waterschappen is informatiebeveiliging een bijzaak, in de zin dat ze overal bij hoort: “Eigenlijk is informatie een bijzaak van alle primaire processen en beveiliging is weer een bijzaak van alle informatie.” Hackers die voor het grote geld gaan moeten niet bij de waterschappen zijn, maar de sector heeft zijn eigen uitdagingen. “Onze sluizen en waterzuiveringsinstallaties zijn gebouwd om meer dan dertig jaar mee te gaan. Het waren ‘stand alone’ objecten met eigen procesautomatisering. Omdat we ze op afstand willen kunnen controleren en bedienen worden ze nu uitgerust met internet en met technologie die patches nodig heeft”, legt Simon uit. Bij de gemeente Haarlem zijn de risico’s misschien anders van aard, maar net zo verweven met de primaire processen. Hut: “We zien dat werk en privé steeds minder gescheiden zijn, de grens tussen de binnenkant en de buitenkant is niet zo scherp afgebakend als ik graag zou willen. Een voorbeeld. Mensen laten privépakketjes op het werk bezorgen. Dat houdt in dat ze ook alle e-mails op het werk ontvangen die met die bezorging te maken hebben. En daarmee komen ook de reclamemails binnen met aanbiedingen en voor je het weet zit er spam tussen waar mensen op klikken.” En iedereen weet dat klikken op het verkeerde kan leiden tot phishing, malware en virussen.
Taakomschrijving
Door de reikwijdte van het werk en de organisatiespecifieke risico’s is niet iedereen voorstander van een door de overheid vastgelegde taakomschrijving of set van kwaliteitseisen. Hut zegt: “Ik zou eerst willen weten welke problemen wij daarmee oplossen. Dat mensen dit vak niet goed doen? Zou dat anders zijn wanneer de overheid de regels bepaalt?” “Dit is een beetje alsof het benoemen van een kwaliteitsmanager de kwaliteitsproblemen oplost”, vult Halfweeg aan. “Ons werk draait om risico’s rondom informatie. Het zou bijzonder zijn als de overheid die rol voor ons moest definiëren.” De Bie ziet wel het nut van een formele status: “Het zou fijn zijn als de functie van CISO beschermd is en dat er kwalificaties worden gevaagd. Denk aan een CISM-certificaat – Certified Security Information Manager – of een speciale CISO-opleiding.” Ook zou hij het prettig vinden als de rol wordt verplicht, al was het maar om de bevoegdheden duidelijker te maken voor werkvloer en directie. Want, zoals Hut het formuleert, het werk van de CISO is “trying to get things done when you’re not in charge.” Brandweer zijn zonder te mogen blussen, noemt Halfweeg het.
Beperkt mandaat is één van de grootste hindernissen voor de CISO
Uit de enquête blijkt het beperkte mandaat een van de grootste hindernissen te zijn die de CISO ervaart in de uitvoering van de functie. Het staat in het lijstje, samen met gebrek aan steun van het middelmanagement, trage besluitvorming en beperkte middelen. Uit het rapport rijst het beeld van de CISO als een eenzame functie, met name vanwege het gebrek aan eigen medewerkers: 77 procent stuurt niemand hiërarchisch aan en 41 procent stuurt geen enkele decentrale medewerker functioneel aan. ‘De hoogst centraal verantwoordelijke voor dit domein heeft een eenzame centrale functie.’ En: ’De conclusie luidt dat voor 41 procent van alle respondenten de CISO-functie een solistische job is.’ Dat vindt Halfweeg ook: “CISO’s roepen dit al jaren. Wij doen het werk alleen of met een zeer klein team. Evenmin kunnen wij carrière maken binnen de organisatie, daarvoor moeten we overstappen naar een andere.” Simon beaamt de solistische positie maar heeft er geen last van. “Ik ben nooit alleen, want ik ben ook Functionaris Gegevensbescherming”, zegt hij luchtig. “Maar serieus, als voormalig consultant ben ik gewend bij een afdeling te zitten, in plaats van erin. En samenwerken is binnen de waterschappen goed geregeld. Eens in de twee maanden komen alle CISO’s bij elkaar, daarnaast ontmoeten we vakgenoten bij het CIP.”
Bewustwording
Uit de enquête blijkt dat CISO’s gebruikmaken van verschillende kennisnetwerken. Van de respondenten zegt 75 procent voor het opzetten van een CISO-community te zijn. Ontmoetingen met vakgenoten zijn cruciaal om geïnformeerd te blijven over bedreigingen en te nemen maatregelen. Die kennis wordt vervolgens gedeeld met de organisatie zodat alle medewerkers zich bewust zijn van mogelijke risico’s. De Bie: “We hebben materiaal ontwikkeld met leermodules. Op intranet publiceren we berichten en incidenten die op onze organisatie van toepassing zijn. Dat kan soms heel breed zijn: dat we voor de zomer iets publiceren over de spelregels van het gebruik van bedrijfsmiddelen op vakantie. Hoe ga je daarmee om? Maar ook: wat als je spionage tegenkomt bij een delegatie.” De Brabantse Waterschappen hebben klasjes voor nieuwe medewerkers over bewust omgaan met informatie. Simon: “De techniek faalt bijna nooit, menselijk gedrag daarentegen wel. We steken veel energie in het bewust maken van mensen. Wij organiseren ook PEN-testen, testen met phishingmails en mysteryguests. Ook doen wij audits op onze BIO. We oefenen steeds meer, maar nog steeds te weinig. De wil van mensen is er wel.” SVB heeft al een bewustwordingscampagne. Gemeente Haarlem start binnenkort met een dergelijk programma.
Enquête
Het CIP hield in 2019 een enquête onder ruim honderd CISO’s en bijna veertig bestuurders. De helft van de ondervraagden werkt bij gemeenten. De rest komt uit verschillende overheidslagen en -organisaties met een grootte van 1-100 tot meer dan 10.000 medewerkers. Ruim de helft werkt bij organisaties met 100-500 medewerkers. Dit zijn de belangrijkste aandachtspunten.
1 Weg van ICT: veel CISO’s rapporteren aan een bestuurder of directeur. Een neutrale positie ten opzichte van de verantwoordelijke voor informatievoorziening en ICT is wenselijk.
2 Een eigen budget: voor 69 procent is CISO een parttime functie. Veertig procent heeft geen budget en 22 procent een heel klein budget. Om de slagvaardigheid en zelfstandigheid van de CISO te vergroten adviseert het rapport de functie te voorzien van een eigen budget.
3 Ook bij inkopen: de CISO wordt nauwelijks betrokken bij inkopen en aanbestedingen. Die afwezigheid was zeer opvallend, vindt Ad Reuijl, directeur van het CIP. “Waar komen datalekken vandaan? Uit geautomatiseerde systemen. En de overheid koopt haar ICT in en laat een groot deel extern hosten. Dat zit dus niet in het blikveld van degene die informatiebeveiliging in de portefeuille heeft. Eisen dat leveranciers voldoen aan de BIO of ISO 27000 zegt niets over de concrete producten of diensten die worden ingekocht.” CIP werkt aan meerdere richtlijnen voor de veilige inkoop, bouw en onderhoud van ICT door derden.
4 Overleg vaker: CISO’s willen meer bewustzijn over informatiebeveiliging bij de bestuurders, maar die blijken een prima zicht op risico’s te hebben. Reuijl zegt hierover: “De risicoperceptie bij bestuurders lag zelfs hoger dan bij CISO’s, maar het is lastig hier kwalificaties aan te verbinden. Bestuurders die onze enquête hebben ingevuld zijn nu eenmaal betrokken bij informatiebeveiliging. Anders hadden ze niet meegewerkt.”
5 Ook bij veranderingen: CISO’s worden lang niet altijd betrokken bij veranderingsprocessen in de informatievoorziening. Informatieveiligheid is een steeds dominanter kwaliteitsaspect, dus ook dit is een punt van aandacht.
6 Meer zicht op effect: van de ondervraagden gaf 70 procent aan in beperkte mate zicht te hebben op de omvang of het effect van IB-gerelateerde schade bij incidenten. “Dat is ook moeilijk in te schatten”, licht Reuijl toe. “Wat kost het stilvallen van de Nederlandse export of het niet functioneren van een waterzuiveringsinstallatie?”
7 Oefen structureel: de organisaties van bijna alle ondervraagden voeren hack- en PEN-tests uit. Ook phishingcampagnes, mysteryguests en periodieke crisisoefeningen staan op het programma. CIP adviseert om oefeningen structureel in te plannen.
8 Sluit aan op NDN: CIP constateerde weinig aansluitingen met het Nationaal Detectienetwerk (NDN). Information Sharing & Analysis Centers (ISAC) waren ook voor velen onbekend. Veel nuttige informatie over kwetsbaarheden en incidenten en hoe daarmee om te gaan, gaat daarom verloren voor kleinere organisaties. Reuijl voegt toe: “Het NDN is nu vooral gericht op vitale sectoren en Rijk. Dat is wel een nuance bij de constatering dat men er soms niet van weet. Het is wat ons betreft aan te raden het NDN actief te gaan verbreden over de hele overheid.”
Dit artikel staat ook in iBestuur magazine 33
‘Hackers die voor het grote geld gaan moeten niet bij de waterschappen zijn’ zegt het Brabantse Waterschap. Met de recente gebeurtenissen in gedachten (Universiteit van Maastricht) is dit een aanname waarvan de houdbaarheidsdatum al lang verstreken is. Zeker voor belangrijke infrastructurele voorzieningen als sluizen en waterzuiveringsinstallaties zou de behoefte (noodzaak?) om op afstand te willen controleren en bedienen serieus (her) overwogen moeten worden.