CISO: een easy job...

Youri Lammerts van Bueren

door: Youri Lammerts van Bueren, 12 december 2017

Na een presentatie op de informatieavond van de gemeenteraad over informatieveiligheid en privacy, werd ik door de portefeuillehouder uitgenodigd om een vergelijkbare sessie met het voltallige college te doen. Ik kreeg maar liefst 45 minuten. Ik weet dat sommigen presenteren, en zeker voor het bestuur, spannend vinden. Ik ook, maar het geeft ook een kick.

Informatieveiligheid en privacy horen op de bestuurlijke agenda. Als CISO maak ik me daar ook hard voor. Wanneer het bestuur mij dan uitnodigt, zonder dat ik me figuurlijk opdring, vind ik dat een blijk van waardering voor het vakgebied dat ik uitoefen.

Na de presentatie, waarin een comfortabele sfeer heerste, kreeg ik te horen dat het bestuur het een erg boeiend vakgebied vindt. Dat is het ook en ik reageerde nonchalant met ‘ach.. zo moeilijk is dit allemaal niet’. Een glimlach verscheen en met een knipoog werd gezegd ‘dat moet je er niet bij zeggen’. Het was een goede sessie, voor iedereen. Daar waar ik weet dat CISO’s soms moeilijk of zelfs niet aan de bestuurlijke tafel (mogen) komen, bevind ik mij in een zogenaamde luxe positie.

Ik sta overigens wel achter mijn enigszins nonchalante reactie. Informatieveiligheid en privacy zijn begrippen die als complex worden ervaren. Een specialist wordt aangesteld om dit in de organisatie in te bedden. Maar informatieveiligheid en privacy zijn hele simpele begrippen en eenvoudig te borgen. Als CISO is het de kunst om de waas en mist die om deze begrippen hangen, weg te halen en het voor de organisatie begrijpbaar en behapbaar te maken.

Het is net voetbal

De parallel kan met vele sporten gemaakt worden. Voor het gemak houd ik de voetbalsport aan.

Als club heb je doelen gesteld. Die verschillen per club. De een gaat voor internationale successen, de ander is al blij als ze niet degraderen. Er is een hele organisatie ingericht om die doelen te verwezenlijken. Een coach wordt aangesteld om met het team deze doelen te verwezenlijken.

De coach is in deze vergelijking de CISO. Je bent afhankelijk van het materiaal (mensen en middelen) om de doelen te verwezenlijken. Verschillende belangen moeten bediend worden. Die van het bestuur, de fans en ook de sponsors. Dat is voor een CISO niet anders. Als coach moet je het maximale uit het team halen. Resultaten moeten behaald worden om doelen te halen.

De coach zet de lijnen uit en traint zijn team. Als coach ben je verantwoordelijk voor de behaalde resultaten, maar anderen moeten het doen. Anderen moeten gaan handelen naar hetgeen met elkaar is afgesproken. En al heb je een voorhoede die aan de lopende band scoort, een zwakke verdediging kan ertoe leiden dat je niet het gewenste resultaat behaald.

Ook hier probeer je geen tegendoelpunt te incasseren, maar ongetwijfeld komen die er. Om te winnen en je doelen te verwezenlijken, moet je risico’s nemen. Als je een tegentreffer incasseert, dan is het belangrijk dat je veerkracht toont. Een tegentreffer leidt niet per definitie tot verlies of een crisis. Paniekvoetbal moet voorkomen worden. Door hierop te trainen, train je op veerkracht. Leer van de gemaakte fouten en neem dit mee naar de volgende wedstrijd.

Zo is ook het ‘leven’ van een CISO. Afgewogen risico’s nemen, de organisatiedoelen centraal stellen en medewerkers trainen en ondersteunen in risicomanagement. Uiteindelijk moeten zij het doen en nadenken over wat hun handeling kan betekenen voor het team en de risico’s die hier mogelijk mee gepaard gaan.

Nee, zo moeilijk is het niet, maar…

De taak van een CISO is om die reden niet moeilijk; maar je hebt net als de voetbalcoach wel commitment nodig van de hele organisatie en middelen om zwakke punten te kunnen versterken. Het gesprek dat ik had met het bestuur, draagt bij aan dat commitment. De CISO moet zorgen dat het begrijpbaar is en moet rekening houden met de cultuur. De doelen moeten gehaald worden. Daarvoor ben je benoemd. Omdat dit teamwork is, moet iedereen snappen wat de CISO doet. En als er wordt gezegd, ‘Ah, zo moeilijk is het niet’, dan zijn we op de goede weg. Dan snappen zij dat zij zelf onderdeel uitmaken van het team en dus bijdragen aan de informatieveiligheid.

De kunst is dat het team gaat schitteren. Mensen moeten kunnen schitteren in hun eigen vakgebied. De CISO ondersteunt hen hierbij en moet hen vooral daarin niet beperken. Eigenlijk is het vakgebied niet zo moeilijk, maar net als bij een voetbalcoach maken de dynamiek in de omgeving en organisatie het een mooie uitdaging. Maak het niet moeilijker dan dat het feitelijk is en houd rekening met de beschikbare middelen en capaciteiten. Het vraagt soms maatwerk om, net als in een voetbalteam, het ene zwakke punt op het gewenste niveau te krijgen zodat het gehele team hiervan kan profiteren. Focus niet te veel op aanvallen, maar ook zeker niet te veel op de verdediging. Zoek een gezonde balans, zorg dat iedereen zich comfortabel voelt en kan gaan schitteren.

Succes!

Youri Lammerts van Bueren is Chief Information Security Officer (CISO) voor de werkorganisatie BUCH (ambtelijke organisatie voor de gemeenten Bergen, Uitgeest, Castricum en Heiloo).

reacties: 3

- - - - -

  1. P.J. Westerhof LL.D MIM #

    14 december 2017, 14:30

    Bestuur/Directie is accountable voor security en privacybescherming.
    De CISO is responsible voor security, at best.

    - - - - -

  2. Ron Dis #

    15 december 2017, 11:45

    Schadelijk voor het vakgebied dit soort columns, niet alleen gaat er een veel naïviteit van uit, maar het gaat ook voorbij aan de vaak noodzakelijke gespecialiseerde kennis die er voor nodig is om zowel met gebruikers, bestuurders als met IT’ers te kunnen praten. In de behoefte om zelf te kunnen schitteren wordt de taak van de CISO zoals die er in de echte wereld uit ziet tot in het belachelijke vereenvoudigd. Hierin zit de valkuil zoals je die wel vaker aantreft bij de rijksoverheid dat als je maar een coach (meestal zonder vakinhoudelijke kennis) op de positie van CISO neer zet het allemaal vanzelf wel goed komt.

    - - - - -

  3. Youri Lammerts van Bueren (BUCH) #

    10 januari 2018, 07:21

    Dag Ron

    Ik zie je reactie nu pas; vandaar mijn verlate reactie.

    Het vakgebied IV&P is voor velen nog lastig te begrijpen. Het doel van deze column is om:
    - Na te denken in je eigen organisatie hoe je het begrijpelijk kunt maken. Je hebt namelijk commitment nodig om IV&P te kunnen borgen;
    - Aan te geven dat de CISO wel verantwoordelijk is voor de security, maar het succes van IV&P grotendeels afhankelijk is of anderen het beleid naleven en er naar handelen). Vandaar de vergelijking met de CISO als coach;
    - Aan te geven dat de organisatiedoelen centraal staan en dat rekening gehouden moet worden met de middelen waar je als CISO over beschikt. Dat vraagt maatwerk en het doen van risicoanalyses om goed onderbouwde adviezen te kunnen geven ter besluitvorming.

    In de column ga ik niet voorbij aan de specifieke kennis die er voor nodig is. De complexiteit van het vakgebied en de omgevingsfactoren worden ook benoemd.

    De CISO heeft oa als taak om ervoor te zorgen dat iedereen IV&P snapt, begrijpt wat de risico’s zijn en wat van een ieder wordt verwacht om deze risico’s te managen. De CISO moet de cultuur begrijpen en kunnen levelen.
    Zo simpel is het; en dat de praktijk weerbarstiger is, dat weten we allemaal wel. Daarbij schrijf ik mijn columns altijd wat prikkelend. Stof om over na te denken.

    Je hoeft het zeker niet eens te zijn met mijn columns, maar trekt conclusies op verkeerde veronderstellingen – dan wel je hebt niet goed gelezen.
    De conclusie die jij vooral trekt in de laatste zin, is voor je eigen rekening.

    - - - - -

De met een * gemarkeerde velden zijn verplicht. U ziet eerst een voorbeeld en daarna kunt u uw bijdrage definitief plaatsen. Uw e-mailadres wordt niet op de site getoond. Reacties zonder achternaam worden verwijderd. Anoniem reageren alleen in uitzonderlijke gevallen in overleg met de redactie.