Wat doet een Security Officer?

Uitgebreid profiel

De bewaker van uw informatie

Welke taken voert een CISO uit?

Remote Security Officer, Chief Information Security Officer, Cyber Security Officer en Security Officer. Het zijn allemaal benamingen voor dezelfde functie: de Chief Information Security Officer (CISO), de functionaris die alles rond cyber security in een organisatie in goede banen leidt. TT3P kan deze functie voor u helpen invullen. Maar welke taken kunt u verwachten dat een CISO nu precies zal uitvoeren?
Maak een afspraak Download de brochure

Wat zijn de taken van een Chief Information Security Officer?

Een CISO is de beveiliger van de informatie binnen een organisatie. Volgens de wet zijn er geen vastgestelde formele competentie-eisen om als informatiebeveiliger aan het werk te gaan. De CISO moet beschikken over up-to-date ICT kennis én kennis over de gevaren en uitdagingen die hierbij komen kijken. De CISO kan een Risico-Inventarisatie en -Analyse (RI&E) uitvoeren om organisaties te behoeden voor schade of er voor te zorgen dat de schade zo snel mogelijk herstelt kan worden. Risico’s op inbreuk van gegevens kunnen zo op een kosten efficiënte manier worden aangepakt.

 

Een CISO voert (een selectie van) de volgende taken uit:
• Het uitwerken en up-to-date houden van het Informatiebeveiligingsbeleid;
• Het bepalen van risico’s rondom informatie en ICT middelen;
• Het toewijzen en het controleren van de uitvoering van taken;
• Het ondersteunen bij vraagstukken op het gebied van informatiebeveiliging en cyber security, bijvoorbeeld rondom incidenten en wijzigingen;
• Het in kaart brengen van processen, proceseigenaren en gebruikte middelen;

• Het minimaliseren van risico's door het laten nemen van technische en organisatorische maatregelen;
• Het bewaken van uitgezette activiteiten;
• Het (laten) uitvoeren van interne checks en het bewaken van de opvolging ervan;
• Het vergroten van het bewustzijn (awareness) van directie en medewerkers rondom cyber security.

Wat zijn kerneigenschappen van een CISO?

Het is belangrijk om als CISO over de juiste en actuele kennis te beschikken, waardoor de functie zo goed mogelijk uitgevoerd kan worden. Een CISO moet kennis hebben van:
• Strategieontwikkeling en informatiebeveiliging;
• Risico-, relatie-, en informatiebeveiligingsmanagement;

• Huidige wet- en regelgeving;
• Normenkaders zoals ISO en NEN;
• Mogelijkheden op het gebied van technische en organisatorische beheersmaatregelen.

Maar kennis alleen niet genoeg. De CISO moet ook over de juiste eigenschappen beschikken om de functie goed uit te kunnen voeren:

• Geduld: Niet alles zal gelijk te realiseren zijn, omdat projecten vaak groter zijn dan nodig of omdat er gewacht moet worden op een besluitvorming binnen de organisatie;
• Bewust zijn van de omgeving: Als informatiebewaker is het een pré om op de hoogte te zijn van omgevingsfactoren binnen en buiten de organisatie. Denk hierbij aan goede kennis van organisatorische, politieke en maatschappelijke ontwikkelingen;
• Goede communicatieve vaardigheden: Een informatiebeveiliger moet goede communicatieve vaardigheden hebben om bijvoorbeeld technische onderwerpen duidelijk te maken en uit te leggen in een niet-technische omgeving;

• Ambitieuze instelling: De CISO ontwikkelt een visie op het gebied van informatieveiligheid, maar om deze visie te realiseren zal er hard gewerkt moeten worden;
• Goede presentatie skills: Niet alleen moeten zaken op papier gezet worden in rapportages, maar moeten er gepresenteerd worden aan bestuur en management van de organisatie. De informatiebewaker heeft namelijk een adviserende rol.

Hoe kunt u over uw eigen CISO beschikken?

De Remote Security Officer, de TT3P CISO as a Service dienst, zorgt ervoor dat binnen uw organisatie het gewenste beveiligingsniveau van de informatie (information assets) op peil gehouden wordt en dat uw Information Security Management System (ISMS) onderhouden wordt. Hierbij wordt de betrouwbaarheid (confidentiality) en integriteit (integrity) in oog gehouden. Naast dat de gewenste taken door de Remote Security Officer worden uitgevoerd, is hij ook beschikbaar wanneer calamiteiten zich voordoen. NEN 7510 is een Nederlands ISMS, welke gebaseerd is op ISO 27001. Allebei de normen beschrijven een managementsysteem voor informatiebeveiliging. Deze managementsystemen zijn ingericht op de PDCA-cyclus (Plan-Do-Check-Act) en hebben allebei als belangrijk onderdeel het uitvoeren van een risicoanalyse.

Download de brochure

Wat zijn de voordelen van het inhuren van een Remote Security Officer?

Het inhuren van een Remote Security Officer geeft u de mogelijkheid om, zonder hiervoor een fulltime medewerker in dienst te hoeven hebben, toch invulling te geven aan:

• Beleid: Er wordt structureel vormgegeven aan uw informatiebeveiligingsbeleid en het beleid wordt gedocumenteerd. Samen met de RSO werkt u aan uw digitale veiligheid en digitale weerbaartheid van uw corporate network.

• Maatregelen: Er wordt structureel invulling gegeven aan het beleid in de vorm van het realiseren van beheersmaatregelen. De RSO ondersteunt bij planning en implementatie ervan.
• Controles: Er wordt structureel gecontroleerd of de aanwezige beheersmaatregelen voldoen. Aan uw eigen beleid en -richtlijnen maar ook aan de geldende wet- en regelgeving (complianvce).  Is dit niet het geval dan ondersteunt de RSO bij het aanscherpen of aanvullen ervan.
• Risico inventarisatie: De RSO kan samen met u kunnen de risico's voor uw informatiebeveiliging en uw gevoleige data (sensitive data) in kaart brengen, waarna er plannen opgesteld kunnen worden voor het geval dat er toch iets mis mocht gaan.
• Klankbord: De Security Officer is uw vaste sparring partner m.b.t. uw informatiebeveiliging.
• Bewustzijn: De RSO draagt bij aan het het vergroten van de cyber weerbaarheid van medewerkers (het bewustzijn van medewerkers bij cyber security).
• Eerste aanspreekpunt: De RSO kan begeleiden en coördineren bij het oplossen van eventuele cyber security incidenten.

 

Door eerst te inventariseren hoe het met de huidige informatiebeveiliging binnen uw organisatie is gesteld kan de RSO een actielijst met verbeterpunten opstellen welke in overleg met u worden voorzien van prioriteit.
De RSO zal vervolgens de actiepunten uitvoeren of de uitvoering ervan coördineren. Dit in het tempo en in een doorlooptijd passend bij de met u afgestemde inzetduur van de RSO per week of per maand.

Wat zijn de nadelen van het inhuren van een Remote Security Officer?

• Een CISO in eigen dienst is altijd beschikbaar. Wanneer u een CISO inhuurt voor een aantal uren per maand, bent u natuurlijk afhankelijk van de planning van de RSO. Maar door een planning met de RSO af te stemmen kunt u gewoon rekenen op de door u gewenste beschikbaarheid;
• De RSO kent niet direct alle details van de gebruikte ICT-middelen binnen uw organisatie en de mogelijke beveiligingsrisico’s ervan. Maar door deze te inventariseren kan de RSO snel inzicht in de security (en privacy) gevoelige activiteiten van een bedrijf krijgen en welicht zelfs zaken boven water halen die uw organisatie intern over het hoofd heeft gezien;
• Een RSO is wellicht minder bekend met de specifieke bedrijfstak waarin uw organisatie actief is. Maar dit kan ook in uw voordeel werken omdat het wel eens goed is als er iemand onbevangen naar huidige werkwijzen en procedures kijkt.

Wie zijn onze partners?

  • Cyberveilig Nederland
  • Goede Doelen Nederland
  • Apert T
  • DMCC Nederland
  • Iecetee
  • MKB Rotterdam Rijnmond
  • SecurityScorecard
  • MKB Westland
  • SVA
  • Veza
  • Mangotree
  • Buro Nomden