Het aantal cyberincidenten en datahacks groeit jaar op jaar. De rol en positie van de Chief Information Security Officer (CISO, hoofd informatiebeveiliging) binnen organisaties is hierdoor belangrijker dan ooit. Dat kan ook in de vorm van CISO as a Service.
een aandachtspunt is het sluimerende conflict tussen de CISO en het IT-team
Cybercriminaliteit vormt een steeds groter risico voor organisaties. In 2022 zijn ruim 21.000 datalekken en 1826 cyberaanvallen gemeld bij de Autoriteit Persoonsgegevens. Het melden van een datalek is wettelijk verplicht. Organisaties moeten ‘passende technische en organisatorische maatregelen’ treffen om persoonsgegevens te beveiligen. Met de NIS2-richtlijn worden de beveiligingsnormen voor essentiële diensten aangescherpt. Daar vallen energiebedrijven en logistieke dienstverleners onder en onderdelen van de Rijksoverheid.
Complexiteit
De kwetsbaarheid van organisaties neemt niet alleen toe door de toenemende intensiteit en impact van de aanvallen, maar ook doordat we steeds meer via digitale weg met elkaar zijn verbonden. De digitale informatievoorziening en het online uitwisselen van privacygevoelige gegevens is steeds meer gemeengoed. Wat ook anders is: nog niet zo heel lang geleden lag informatie opgeslagen in ordners en een (digitaal) archief. Nu alles is opgeslagen in ICT-systemen en (deels) in de cloud, wordt het moeilijker om het overzicht te bewaren. De toegenomen kwetsbaarheid en complexiteit vraagt om een goede risicoanalyse en beveiligingsplan om inbraken, incidenten en datalekken te voorkomen. In de slipstream van de toenemende risico’s en aangescherpte beveiligingsnormen stijgt de (chief) information security officer (CISO) in de hiërarchie van organisaties. De belangen zijn simpelweg te groot.
Cyberweerbaarheid
Informatiebeveiliging begint met de bijbehorende risico’s inzichtelijk te maken en de onacceptabele risico’s te beheersen. De waarde van informatie is daarbij een belangrijk uitgangspunt, stelt het Nationaal Cyber Security Centrum (NCSC). De directie is eindverantwoordelijk, maar de informatiebeveiliging is het werk van specialisten. Een aandachtspunt is het sluimerende conflict tussen de CISO en het IT-team. De laatste is verantwoordelijk voor de beschikbaarheid van het IT-netwerk, de CISO monitort op veiligheidsrisico’s, bijvoorbeeld bij softwarepatches. Het is belangrijk dat de CISO een zelfstandige en onafhankelijke positie inneemt binnen de organisatie, met directe toegang tot de directie, benadrukt het NCSC in een factsheet rondom risicobeheersing. De CISO moet vrij kunnen rapporteren, zonder dat degene die verantwoordelijk is voor hetgeen waarover gerapporteerd wordt, daartussen zit. Dat betekent dat de CISO onafhankelijk moet kunnen opereren van de ICT-afdeling en ICT-manager.
Werken aan de cyberweerbaarheid is helaas een onontkoombare stap in een wereld waar de criminelen steeds handiger worden om de kwetsbaarheden in ICT-systemen te vinden. Ook als de organisatie zich een eigen CISO niet kan of hoeft te permitteren, of onder de NIS-richtlijn valt, is het belangrijk dat de informatiebeveiliging op orde is. Steeds meer klanten verwachten dit en willen inzicht in het beveiligingsbeleid. Een zorgplicht houdt in dat je passende maatregelen moet treffen om je diensten te waarborgen en bedrijfskritieke en privacygevoelige informatie te beschermen. Dat begint met een risicoanalyse en . Een externe (Chief) Information Security Officer (as a Service) kan daarbij helpen de risico’s in kaart te brengen en maatregelen te treffen en borgen.
