Je zal maar CISO zijn….

Kranten staan er vol mee. Nieuwsrubrieken op TV hebben er iedere week wel een item over en het is onwaarschijnlijk dat u er zelf, privé of professioneel, nog nooit mee te maken hebt gehad. Informatieveiligheid (of eigenlijk informatieonveiligheid) is het ‘trending topic’ in de informatie- en automatiseringswereld. DDOS aanvallen, gijzelsoftware, datalekken, privacyschendingen. De incidenten volgen elkaar in hoog tempo op. Het is dan ook niet verrassend dat organisaties er veel aan is gelegen de informatieveiligheid snel en goed op orde te krijgen. Een eerste vereiste is dat de verantwoordelijkheid voor de informatieveiligheid wordt belegd. In veel organisaties is -of wordt- hiervoor een CISO aangesteld. De Chief Information Security Officer, die als taak heeft in kaart te brengen wat er al geregeld is en wat er nog geregeld moet worden om de organisatie als ‘informatieveilig’ te mogen bestempelen.

Maar wat moet er nu precies worden geregeld?

Het antwoord op deze vraag wordt geleverd door de vele normenkaders die hiervoor zijn opgesteld. Ten eerste natuurlijk de BI-familie (Baseline Informatiebeveiliging): de BIG voor gemeenten, de BIWA voor waterschappen, de BIR voor de rijksoverheid, de BIC voor corporaties etc. Daarnaast zijn er normenkaders gebaseerd op specifieke wetgeving zoals de Wet Structuur Uitvoeringsorganisatie Werk en Inkomen (de SUWI-wet), Paspoortuitvoeringsregeling (PUN) en vanaf 25 mei 2018 natuurlijk de Algemene Verordening Gegevensbescherming (zie ook het artikel over de AVG en de model-DSP’s). Dus de opdracht voor de CISO is helder en eenvoudig: zorg dat uw organisatie voldoet aan alle normenkaders op het gebied van informatieveiligheid.

Maar de titel van dit artikel is niet voor niets zo gekozen. De verschillende normenkaders bestaan uit vele honderden eisen waaraan moet worden voldaan en duizenden zaken die geregeld moeten worden. Vaak zijn eisen onduidelijk geformuleerd en de normenkaders zitten vol met dubbelingen en tegenstrijdigheden. Voor het overgrote deel van deze maatregelen geldt dat ze niet door de CISO, maar door lijnmanagers, applicatiebeheerders en specifieke afdelingen zoals ICT, DIV of inkoop moeten worden gerealiseerd. De CISO moet er dus voor zorgen dat de organisatie voldoet aan een set onduidelijke onsamenhangende eisen. Om dit te doen is hij of zij afhankelijk van anderen die het al druk genoeg hebben met het regelen van ‘hun eigen zaken’. Je zal maar CISO zijn…

De oplossing

Uiteraard zouden we dit probleem niet aansnijden als er geen oplossing was. In samenwerking met onze partner Recourse en de gemeente Oss hebben we een oplossing ontwikkeld voor de CISO waarin de volgende zaken worden geregeld:

• De eisen uit de relevante normenkaders zijn ontdubbeld, consistent gemaakt en geherformuleerd in duidelijke taal, en vervolgens gebundeld in een overzichtelijke set maatregelen (momenteel ongeveer 50). Hierbij geldt voor elke maatregel dat deze eenvoudig kan worden toegekend aan een rol binnen de organisatie. Deze set van eisen wordt door ons onderhouden op een wijze die vergelijkbaar is met de wijze waarop we de model-DSP’s onderhouden.
• Een eenvoudig te bedienen ISMS stelt de CISO in staat om de (gebundelde) maatregelen toe te wijzen aan de personen binnen de organisatie die verantwoordelijk zijn voor de implementatie ervan en hen te vragen te ‘bewijzen’ dat dit is gebeurd of aan te geven wanneer dit gaat gebeuren.
• De antwoorden van deze ‘bewijzers’ worden in het ISMS samengevoegd in rapporten die inzichtelijk maken in hoeverre de organisatie informatieveilig is en op welke onderdelen extra inspanningen gewenst zijn.

Dit ISMS (Information Security Management System) is een oplossing zoals u die gewend bent van VHIC, compleet met helpdesk ondersteuning op zowel inhoudelijk als technisch vlak, met frequente updates om de modelinhoud van het ISMS actueel te houden en met on-site support voor zover dit gewenst is.

Mocht uw interesse (of die van uw CISO) gewekt zijn, komen wij graag langs om meer te vertellen over deze oplossing.

Neem gerust contact met ons op.

[Mocht u geen CISO zijn, wilt u dit artikel ook laten lezen door degene die deze rol wel vervult in uw organisatie?]