Interim (C)ISO

Met de groei van cyberrisico’s stellen steeds meer organisaties een (Chief) Information Security Officer – (C)ISO aan. Iemand die verantwoordelijk is voor het beheersen van de cyberisico’s ten aanzien van de kroonjuwelen van uw organisatie. Heeft u deze rol al belegd? En heeft de verantwoordelijke persoon voldoende kennis en ervaring om deze rol volledig zelfstandig in te vullen?

Kroonjuwelen

Uw organisatie beschikt hoogstwaarschijnlijk over gevoelige persoonsgegevens. Maar ook grote geldstromen, kwetsbare kennis en expertise of systemen die bij niet functioneren zorgen voor directe verliezen. Dit zijn allemaal voorbeelden van kroonjuwelen voor organisaties. Het is belangrijk om uw kroonjuwelen goed te kennen. Welke risico’s kunt en wilt u ten aanzien hiervan accepteren en welke risico’s wilt u aanpakken? Vervolgens is het van belang deze risico’s te beheersen. Een (Chief) Security Information Officer – (C)ISO speelt hierbij een cruciale rol.

Rol van een (C)ISO

Een (C)ISO is binnen uw organisatie verantwoordelijk voor het realiseren van de informatiebeveiliging en het beheersen van de risico’s ten aanzien van uw kroonjuwelen. Afhankelijk van de aard van uw kroonjuwelen zult u meer of minder in informatiebeveiliging moeten investeren. De rol van een (C)ISO groeit hierin mee. In sommige gevallen volstaat een rol met invulling van een dag per week, in andere gevallen zult u een team met information security officers willen aanstellen om het gewenste niveau van cyberweerbaarheid te realiseren. De (C)ISO bewaakt binnen uw organisatie de risico’s, stelt beleid op passend bij deze risico’s en neemt maatregelen. Deze liggen op het gebied van organisatie (bijvoorbeeld aanpassen van processen, het doen van audits), mens (het bewerkstelligen van cyberveilig gedrag) en techniek(bijvoorbeeld het regelmatig laten testen van uw ICT infrastructuur). De rol is complex mede doordat deze zich richt op strategisch niveau (beleidsvorming), tactisch niveau (plan van aanpak) en operationeel niveau (uitvoeren van maatregelen). Een (C)ISO rapporteert bij voorkeur aan een lid van het MT van een organisatie.

Interim (C)ISO

Mocht u op dit moment (nog) geen (C)ISO hebben binnen uw organisatie, dan kan Hoffmann deze bij u detacheren. Dit kan voor langere duur als u de rol niet zelf wilt invullen binnen uw eigen organisatie, maar ook tijdelijk. Bijvoorbeeld als u een vacature heeft die moeilijk in te vullen is. Of in de startfase van uw informatiebeveiligingsaanpak voor het opbouwen van de rol, waarna deze onder begeleiding aan een interne of nog te werven medewerker kan worden overdragen. De interim (C)ISO kan bijvoorbeeld het informatiebeveiligingsbeleid voor u opstellen en vervolgens een functieprofiel definiëren voor een (C)ISO passend bij uw organisatie.