De wereld van een Information Security Officer (ISO) is niet meer vergelijkbaar met 10~20 jaar geleden. Waarbij je vroeger een autoritaire lone-wolf CISO was, die de taak had in zijn/haar eentje de informatiebeveiliging in goede banen te organiseren, zijn er tegenwoordig wetten en regelgevingen, mandaat, budget en teams tot de beschikking (mits je het goed hebt geregeld).
Daarnaast zijn de risico’s toegenomen, aannames gestegen en is het vakgebied breder geworden. Je bent opeens geen vervelende handrem meer, maar een “enabler” om als organisatie snel te kunnen bewegen.
Door alle veranderingen zijn er binnen organisaties nieuwe vragen ontstaan, resulterend in verschillende type information security officers (ISO’s) die op een specifiek vlak de organisatie verder kunnen helpen. Iets wat terug te zien is op de vacaturemarkt. We proberen hieronder uit te leggen welke profielen van ISO’s er zijn en hopen dat je hiermee beter in staat bent om in te schatten welk type ISO je zoekt of bent.
Type(tje)s
Om meteen tot de essentie te komen: Als Information Security Officer zijn we allemaal gelijk qua verantwoordelijkheden. Hoe complex en interessant je de functietitel wilt maken, we hebben allemaal standaardverantwoordelijkheden.
Of je nou CISO, TISO, BISO of VISO bent, als Information Security Officer zet je je in voor een optimale informatiebeveiliging. Je werkt risico-gedreven en legt hiermee je beleid tegen de hoogstnodige lat. Maar je bent niet bang om de teugels te laten vieren, wanneer acceptabele risico’s op het goede niveau worden geaccepteerd. Je weet kaders en richtlijnen om te zetten naar strategisch en operationeel beleid, naar standaarden, processen en procedures. Al die zaken borg je door middel van een Information Security Management Systeem (ISMS) die je secuur opzet en actueel weet te houden. De implementatie leg je neer bij de verantwoordelijke groep en je begeleid deze specialisten, naar het inrichten en bijhouden van effectieve maatregelen.
Als je het over de bovenstaande basisbeschrijving eens bent, lees dan vooral door, want we hebben nog wat verschillende werkgebieden en daarmee (*)ISO-types:
- De CISO. Er is maar 1 kapitein, dus maar 1 Chief Information Security Officer. De CISO is eindverantwoordelijk voor al het (bindende) advies, dat er uit het securityteam komt. De CISO adviseert op strategisch vlak, zit zo dicht mogelijk tegen de directie/C-level aan en legt in/externe samenwerkingsverbanden. De CISO is de eigenaar van het ISMS en stelt eisen aan de werking. Misconceptie: De CISO is niet eindverantwoordelijk voor informatiebeveiliging binnen een organisatie, tenzij de CISO op C-level opereert. De eindverantwoordelijkheid ligt bij een executive sponsor, die actief is binnen de directie van het bedrijf of organisatie en de CISO in staat stelt, het werk effectief en efficiënt uit te voeren.
- De TISO. De Technical Information Security Officer is sterk in het vertalen van beleid naar techniek. Deze persoon schuurt vaak tegen de operationeel verantwoordelijke personen aan en is vaktechnisch inhoudelijker dan een CISO. Deze rol beheert meestal ook het ISMS, de benodigde tooling zoals een risicoregister. Ook is dit een goede kandidaat Product Owner voor een operationeel securityteam, zoals een Security Operations Center (SOC). Misconceptie: De TISO is niet verantwoordelijk dat operationeel specialisten hun werk uitvoeren en//of de regievoering. Hiervoor is lijnmanagement aanwezig.
- De BISO. De Business Information Security Officer is actiever op het vlak van de business en krijgt bijvoorbeeld energie van het vertalen van risico’s naar business impact en van het verhogen van awareness. Misconceptie: De BISO is niet verantwoordelijk dat medewerkers binnen de business hun werk veilig uitvoeren. Hiervoor is lijnmanagement aanwezig.
- De VISO. De Virtuele Information Security Officer is nog een relatief nieuw begrip voor een opkomende dienst. De VISO wordt geleverd vanuit een professionele externe security partij, die organisaties ondersteunen op het vlak van informatiebeveiliging. De VISO is inzetbaar op BISO en/of TISO vlak en kan een CISO of de directie ondersteunen.
Natuurlijk heb je binnen de information security officer-types ook kennis- & ervaringsschalen zoals Senior, Medior, Junior en Trainee. Buiten de Trainee en Juniors moet elke information security officer in staat zijn alle werkgebieden te begrijpen en de basis kunnen uitvoeren. Al is het om een collega te kunnen vervangen of opgeleverd werk te peer-reviewen. En ja, in sommige gevallen ben je een eenmansteam. Dan ben jij dus de CISO, BISO en TISO (en misschien zelfs Data Privacy Officer).
Je zult echter merken dat elke ISO een typetje is, andere drijfveren heeft en daarmee een voorkeur heeft voor 1 of 2 van deze domeinen. Bij een team komt er voor de CISO een lastige verantwoordelijkheid bij. De CISO moet het team managen, in het gareel houden en voldoende diversiteit aan boord krijgen om alle drie de domeinen af te kunnen dekken. De CISO zet mensen vervolgens in waar ze gelukkig worden en kunnen groeien. Wordt dit goed gedaan, dan zal het resultaat er naar zijn. Note: Mocht je binnen je organisatie de luxe van een SOC hebben, dan adviseren wij die groep ook deel te laten worden van hetzelfde securityteam, onder de CISO. Hiermee krijg je een complementair team met 1 visie & missie, die de organisatie ondersteund in het verkrijgen en behouden van een veilige werkomgeving.
Afhankelijk waar de grootste vraag binnen jouw organisatie ligt, is het verstandig om je als directie samen met de CISO af te vragen op welk vlak een information security officer sterk moet zijn. Heb je uitdagingen binnen de business, zoek dan een sterke BISO. Zoek je een technisch sterke partner, zoek dan voornamelijk een TISO. Moet je nog starten in dit werkveld, start dan met het invullen van een CISO functie.
Wil jij ontzorgd worden in de vorm van een Virtuele Information Security Officer (VISO), neem dan contact met ons op via onderstaand invul formulier. Voor meer informatie verwijzen we je naar onze VISO-dienst. Daarnaast leveren we verschillende type ISO’s die je gedetacheerd langduriger kan inzetten en jouw security organisatie helpen kickstarten. Neem contact met ons op via onderstaand formulier voor meer informatie over dit onderwerp.
