Met spoed gezocht: Security Officer! Met een dergelijke vraag begint vaak de zoektocht van een HRM-medewerker of recruiter om een functie in een bedrijf te vervullen. Vaak is echter onduidelijk waarnaar precies wordt gezocht. Naar een systeembeheerder met wat securitykennis? Naar een programmeur met secure-codingkennis? Naar een IT-auditor? Of naar een informatiebeveiligingsadviseur met kennis van software, BCP en netwerken, die een bijrol als IT-manager en architect heeft?
Geloof het of niet, de rol van security-officer is gevuld met alle elementen die hierboven zijn beschreven. In dit artikel presenteren wij deze rol door de tijd heen en werpen we alvast een kleine blik op de toekomst.
Aanleiding
Het begint al bij de naam: IT Security Officer (ISO), Information Security Officer (ISO) of Information Risk Officer (IRO)? De eerste suggereert dat informatiebeveiliging een technische ICT-aangelegenheid is. De tweede en derde geven al meer een ‘business-richting’. Op dit moment in ons verhaal noemen we iedereen even security-officer of securitymanager.
De securitymanager volgens Wikipedia
Volgens Wikipedia is een securitymanager een informatiebeveiliger. Informatiebeveiligers zijn professionals die zich bezighouden met de beveiliging van informatie en informatievoorziening. Dit kan zowel voor de eigen organisatie zijn als voor een derde. Informatiebeveiliging is grofweg in te delen in drie subspecialismen: technisch georiënteerde informatiebeveiligers, proces- en organisatiegeoriënteerde informatiebeveiligers en een combinatie van beide.
De proces- en bedrijfsgeoriënteerde informatiebeveiligers zijn voor ons het meest interessant, omdat zij worden geacht de business te kennen en te begrijpen en op basis daarvan de vele verschillende processen moeten kunnen volgen.
Maar voordat u toe bent aan een proces- en bedrijfsgeoriënteerd informatiebeveiliger, zijn uw organisatie en u al door een voorgaande fase gegaan met de technisch informatiebeveiliger. Immers, de ICT-techniek drijft dit vak vooruit en uw processen steunen hier voor 90% op.
In ons betoog is de technisch informatiebeveiliger de ‘ISO versie 1.0’; een technisch georiënteerd persoon binnen de ICT-afdeling die zich heeft ontwikkeld tot iemand die de techniek van zijn bedrijf of organisatie beleeft en de organisatie daarnaast probeert mee te krijgen in het meest onderbelichte aspect van informatiebeveiliging, de ‘mensfactor’. Een moeilijke klus voor dergelijke technische mensen. Al snel krijgen zij het stempel nee-persoon opgeplakt. Dit straalt af op de ICT als de afdeling ‘Nee, het kan niet’, of ‘Nee, het mag niet’. De ISO versie 1.0 neemt vaak wel al deel in change advisory boards en is sparringpartner voor het IT-management. Als deze persoon het goed doet, is hij de ‘go-to-guy’ van het middenmanagement. Een soort smeerolie om zaken soepel te laten verlopen.
Gelet op de aandacht van informatiebeveiliging in de media en bij de diverse opleidingen wordt het werk van dit soort securitymanagers moeilijker. Medewerkers worden mondiger en weten wat wel en niet kan. Hier komt het fenomeen ‘consumeration of ICT’ om de hoek kijken (maar dat is iets voor een ander artikel).
De ‘ISO versie 2.0’, de servicemanager security, heeft een duidelijke business-inslag en komt vaak uit de hoek van servicemanagers, applicatie- of functioneel beheerders en helpdeskmedewerkers. De klant voorop, en u vraagt, wij draaien. Echter, de techniek is nog steeds bepalend. Deze versie zal al snel moeten overleggen over de risico’s in de techniek en die moeten vertalen naar de wensen en eisen van de klant. Omdat deze rol vaak bij de ICT-afdeling hoort, valt en staat hij met het bewustzijnsniveau van de Chief Information Officer (CIO) of het hoofd automatisering waaronder deze persoon valt. De zogenaamde people skills zijn in deze versie beter dan bij een versie 1.0 en ook hier geldt het ‘go-to-guy’-principe. Toch is ook deze ISO-versie nodig voordat de organisatie toe is aan de derde versie ISO. Tenzij de ISO die je aanneemt het volwassenheidsniveau van de organisatie kan inschatten en ‘backwards’-compatible is.
De veranderende securitymanager
Na de ISO versie 2.0 en zijn positionering onder de ICT-afdeling is de ISO versie 3.0 ICT-onafhankelijker. Een duidelijke verandering ten opzichte van het verleden! Deze 3.0 is wel sterk afhankelijk van het beveiligingsfundament dat in de organisatie, en met name bij ICT, aanwezig moet zijn.
Maar met de nieuwe lichting ICT-professionals die van de opleidingen komt, is een basisniveau informatiebeveiliging een gegeven en geen bijzonderheid meer. De rol van de ISO versie 3.0 komt nu neer op het beheersen van deze kennis en kunde in de richting van bedrijfsdoelen, aan de hand van een bedrijfsbreed informatiebeveiligingsprogramma. Daarom de naam ‘programmamanager informatiebeveiliging en bedrijfscontinuïteit’. Uitgangspunt zijn de bedrijfsprocessen en de afhankelijkheid van informatie in die processen. Vervolgens is het aan de ISO versie 3.0 om deze afhankelijkheden aan de hand van risicoanalyses inzichtelijk te maken en hier maatregelen omheen te bouwen. Dit laatste in nauwe samenwerking met de ICT-professionals.
De vraag blijft in welke mate de ISO 3.0 kennis en vooral kunde moet hebben van de eerdere ISO-versies. Kun je zó van de universiteit in een ISO 3.0-versie rollen? Het antwoord op die vraag moet de komende jaren duidelijk worden. Zeker nu technologierisico’s en informatieafhankelijkheden van clouddiensten belangrijker worden voor de bedrijfsvoering, zijn er meer mensen met technisch inzicht nodig en moet de ISO 3.0 meekomen met de techniek.
De ISO versie 3.0 is niet hetzelfde als een IT-auditor. Hij werk is normerend en adviserend, maar ook faciliterend, en kan daardoor nooit onafhankelijk door een IT-auditor worden uitgevoerd. Hij is adviserend voor management, directie en bestuur, zodat zij het informatiebeveiligingsprogramma kunnen inrichten (DIRECT), verrichten (MONITOR) en beoordelen (EVALUATE). Het normerende onderdeel komt door het opstellen van een organisatiespecifiek raamwerk vóór het informatiebeveiligingsprogramma.
Uw keuze
De keuze voor het soort ISO hangt ook samen met het volwassenheidsniveau en de grootte van uw organisatie. Hier zal een bedrijfsafweging gemaakt moeten worden. Als u uw hele ICT heeft uitbesteed, gaat u dan mee op de informatiebeveiligingskennis van uw leverancier? Kent hij uw bedrijfsvoering?
Het is in ieder geval een aanbeveling om iemand de rol van programmamanager informatiebeveiliging in uw organisatie te geven, de ISO-rol. Als hij dit vanaf het begin moet opzetten, zal dit voor de komende drie jaar een voltijdsrol zijn. Zeker als uw organisatie of uw ICT afdeling nog in een begin stadium van alertheid of bewustzijn is, zult u een ISO versie 1.0 nodig hebben of een versie die backward compatible is. En hierin vind u de houdbaarheidsdatum van een ISO. Deze is gekoppeld aan het volwassenheidsniveau van de organisatie, het bewustzijnsniveau van het management en het intermenselijk (terug)schakelvermogen en incasseringsvermogen van de ISO, en daarnaast aan de persoonlijke interesseverdeling en uitdaging tussen techniek, processen en organisatie en de mensfactor.
In onderstaande tabel vergelijken we de diverse ISO-versies met elkaar en werpen we alvast een blik op de toekomst: de ISO versie 4.0.
ISO versie 4.0, de Information Controller
Informatie heeft een waarde. We leven in een informatiemaatschappij en verdienen veel geld met het handelen in informatie. Toch zien we zelden deze waarde van informatie expliciet terug in de jaarverslagen of op de balansen. De ISO versie 4.0 zal zich richten op een vorm van informatie-financiële boekhouding in combinatie met informatiebeveiligings-programmamanagement. Pas als de informatiewaarde inzichtelijker wordt, kunnen we gerichter kosten-batenberekeningen maken om die waarde te beschermen. Het vak van de informatiebeveiliger komt dan beter tot zijn recht en geeft het ons niet langer het gevoel van ‘de verzekeringspremie betalen’.
Welke rol u ook voor uw organisatie zoekt – begin met een analyse van uw organisatie en het volwassenheidsniveau jegens het vakgebied informatiebeveiliging. Daarna, welke ISO versie u ook aanneemt, weet u 1 ding zeker – door de veelzijdigheid is de ISO rol leukste functie die er bestaat. En het is een vak!
Door Ronald van Erven, Information Risk Officer bij Timeos in samenwerking met Piet J. Munsterman – directeur Sales van SRC