Overslaan en naar de inhoud gaan

CISO - pak die plek aan de directietafel

Je koopt niet zo snel een huis als je weet dat er instortings- en inbraakgevaar is. Maar veilige IT? Dat is een stuk ongrijpbaarder. Hoewel iedereen zijn mond vol heeft over security, blijkt het in de praktijk nog vooral loze praat. De schuldigen: de directie en de CISO.
Vergadering
© Shutterstock
Shutterstock

Informatiebeveiliging is een van de kritieke specialismen geworden van en binnen IT. De CISO moet degene zijn die op dat vlak de tooling, processen en mensen op elkaar afstemt. Zo helpt deze persoon een organisatie de bedrijfsvisie en -strategie om te zetten naar een informatiebeveiligingsbeleid, inclusief juridische componenten en naleving van normen.

Ten minste dat is de bedoeling. In de praktijk loopt dit vaak anders.

Ondergeschoven kindje

Informatiebeveiliging blijft een ondergeschoven kindje – of het nu komt doordat het niet tastbaar genoeg is, kennis in de directiekamer ontbreekt of omdat time-to-market simpelweg te belangrijk wordt gevonden. Vaak wordt bijvoorbeeld wel tooling aangeschaft, maar wordt deze niet geïntegreerd in de bredere bedrijfsvoering. Security blijft hierdoor vooral ‘een zaak voor de techneuten’. Dit zie je terug in de verwarring die heerst over het profiel van de CISO. Moet het een rastechneut zijn of iemand uit de businesszijde? Technische kennis van zaken is natuurlijk nodig, maar juist omdat een CISO zich moet ontfermen over beleid en processen, is een operationeel sterke security engineer niet altijd de goede persoon om tot CISO gebombardeerd te worden.

Pak die plek

Informatiebeveiliging is zogenoemd chefsache voor veel organisaties, maar we zien dat de CISO slechts bij wijze van uitzondering een plek aan de directietafel heeft. Voor de rest bevindt de CISO zich doorgaans in het middenmanagement.

Laten we wel wezen, bij chefsache hoort een directierol. Maar dat deze rol de CISO niet gegund wordt, is niet puur te wijten aan een gebrek aan kennis of urgentiegevoel onder directieleden. De CISO moet zelf verantwoordelijkheid nemen en de eigen rol profileren. Het is jammer dat dit doorgaans pas gebeurt wanneer er een security-incident plaatsvindt.

Dus beste CISO: sluit doorlopend aan bij directievergaderingen, stel je op als gesprekspartner en zorg dat je in ieder geval up-to-date bent over de bedrijfsstrategie en groeiplannen.

Directie en CISO moeten naar elkaar toe bewegen. Dat is een gezamenlijke verantwoordelijkheid. Wat zeker is, is dat informatiebeveiliging geen chefsache kan zijn zonder een duidelijk functieprofiel van de CISO én een vaste plek aan de directietafel.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in