fbpx

Rol en taak van de Information Security Officer 

All eyes on the data 

Sjoerd Marinussen

Sjoerd Marinussen – Business Consultant

De rol en taak van De Information Security Officer 

Als maatschappij produceren we dagelijks enorme hoeveelheden data. Met deze datagroei neemt ook de urgentie van een goed informatiebeveiligingsbeleid toe. Dit vraagt om organisatorische oplossingen en maatregelen.

De Information Security Officer heeft hierin een belangrijke rol. Deze persoon zorgt dat de risico’s in beeld zijn en doorvertaald worden naar beleid, maatregelen en bewustzijn bij de medewerkers. Binnen én buiten de organisatie. In deze blog gaan we in op de rol, het nut en de noodzaak van de Security Officer.

Steeds meer gevoelige informatie 

Als organisatie ‘verwerken’ we tegenwoordig heel veel gevoelige data. Met verwerken bedoelen we opslaan, gebruiken, ter beschikking stellen, etc.  Als zorginstelling, advocatenkantoor of bijvoorbeeld woningcorporatie werkt u veel met privacygevoelige data. Persoonsgegevens bijvoorbeeld die u opslaat, ter beschikking stelt en bewaart. Dat geldt ook wanneer uw organisatie gevoelige data van andere organisaties ‘verwerkt’. Bijvoorbeeld als u een datacenter hebt of SaaS-software aanbiedt.

Zorgen dat de organisatie en de betrokken organisaties daarbuiten goed en veilig omgaan met die informatie is een van de primaire taken van de Security Officer. Hij of zij, aangesteld door de directie, is de persoon die de risico’s in kaart brengt, deze vertaalt naar beleid en maatregelen en de organisatie daarin meeneemt.  

Een Security Officer is in een aantal gevallen verplicht 

Wanneer u gecertificeerd bent volgens de ISO 27001 of NEN 7510 normeringen dan bent u vanuit die hoedanigheid verplicht om iemand binnen uw organisatie de rol van Security Officer te geven.  Iemand die het overzicht houdt over alle data en technisch en organisatorische maatregelen treft om alles veilig ‘te verwerken’.  

Wat maakt dat de ISO een belangrijke rol heeft? 

Met de exponentiele groei van data en informatie groeien de mogelijkheden maar ook de bedreigingen. Niks doen is geen optie. Inzicht, beleid en maatregelen zijn essentieel. Niet alleen binnen de organisatie maar ook met betrekking tot de data buiten de deur. Bijvoorbeeld bij uw cloud of softwareleverancier.  

De Information Security Officer is iemand die het overzicht heeft van alle data en datastromen en technische en organisatorische maatregelen neemt om alles veilig ‘te verwerken’. Denk hierbij ook aan het creëren van bewustzijn bij medewerkers; hoe ga je veilig om met informatie?  

De SO is ook scherp op veranderingen binnen en buiten de organisatie. Op technische én organisatorisch vlak. Deze is alert op veranderingen in de structuur van de organisatie. Denk hierbij aan: nieuwe projecten, nieuwe afdelingen, samenvoegingen, overnames of verkoop, groei of bijvoorbeeld nieuwe producten en diensten.  

Allemaal zaken die mogelijk om aanpassingen vragen in de manier waarop de organisatie omgaat met de informatiebeveiliging. Het aanpassen van autorisaties. Toegang van nieuwe medewerkers, devices (tablet, laptop) die buiten de deur gebruikt kunnen worden. Het extern opslaan van data of door het nieuwe product, gebruik van nieuwe applicaties of nieuwe leveranciers die ineens toegang krijgen tot gevoelige persoonsgegevens.  

De BIV 

Veilig is in dit geval het respecteren van de BIV. Beschikbarheid, Integriteit en Veiligheid. Zorgen voor de Beschikbaarheid van data betekent zorgen dat die ook ‘letterlijk’ voor handen zijn als je die nodig hebt. De betrouwbaarheid van de systemen maar ook de back-ups vallen hieronder. Met de Integriteit bedoelen we de kwaliteit van de data. Als u de gegevens van meneer Jansen opvraagt, zijn dat dan ook zijn gegevens en zijn het bijvoorbeeld de meest actuele? De veiligheid moet zorgen dat onbevoegden er niet bij kunnen of dat het per ongeluk op straat komt te liggen.   

Interne audit

Veel van de uitdagingen liggen buiten de deur 

Alles gaat tegenwoordig ‘in de Cloud’. Dataopslag maar ook de ‘Software as a Service’ oplossingen. Software die bij de ontwikkelaar/leverancier draait en waar uw organisatie via het internet op inlogt. Weinig verstoringen en altijd de nieuwste versie als grote voordelen. Maar de keerzijde is dat ook uw data daar staat. 

Het is dus zaak om er scherp op te zijn hoe uw software- en cloudleverancier hun informatiebeveiliging op orde hebben. Want de ervaring leert dat daar regelmatig wat gebeurt wat de beschikbaarheid en met name de veiligheid onder druk zet.  

Het is ook goed om na te gaan welke leveranciers uw organisatie allemaal heeft en welke (gevoelige) data daar opgeslagen zijn. Om vervolgens te bepalen welke impact zij daarmee hebben op uw bedrijfsvoering en continuïteit. Het blog over stakeholderanalyse vertelt u hier meer over. 

Om te weten of leveranciers het goed op orde hebben kunt u kijken naar zaken als een ISO 27001 of NEN 7510 certificering. Hebben ze beleid, maatregelen en eigen audits. Hoe zijn zaken als back-ups en toegangsbeveiliging of het ontwikkelen volgens de OTAP methode geregeld? Beoordeel ook uw contract, Service Level Agreement en verwerkersovereenkomst.  

Vaak vraagt dit flink wat kennis en inzicht in hoe de leverancier dat georganiseerd heeft. Organisaties halen hier regelmatig externe hulp bij om dat samen met de Security Officer te doen. 

 

Kennis van techniek en organisatie 

De rol van de SO? Vragen, kijken en anticiperen. Intern en extern. Daar is kennis en vooral ervaring voor nodig. Van de techniek. Maar met name de organisatie. Het goed doorgronden van hoe de organisatie werkt, het kunnen inschatten waar de eventuele risico’s zitten en daarop acteren is wat het verschil maakt tussen de ene en de andere Security Officer 

Het Management Information Security System

Wanneer uw organisatie gecertificeerd is dan is de Security Officer de verantwoordelijke persoon voor het onderhouden van het Information Security Management Systeem (ISMS). De verzameling van alle documenten, afspraken en acties rond beleid, processen, risico-analyses, audits en maatregelen om de veiligheid van de informatie te organiseren en te borgen.  

Bij organisaties zonder certificering en ISMS is het aandachtgebied van de SO vaak minder omvangrijk of complex. De focus richt zich dan vaak op het beleid (hoe willen we omgaan met de veiligheid van de informatie – Wat vinden we belangrijk?), op de risico’s en de maatregelen om die te minimaliseren.
 

De directie is en blijft verantwoordelijk

De Information Security Officer is verantwoordelijk voor inzicht en advies rondom risico’s informatiebeveiliging. Hij of zij is degene die scherp moet blijven op alles en maatregelen aanreiken. En in situaties van beveiligingsincidenten degene is die het voortouw neemt. Maar het is de directie waar de eindverantwoordelijkheid ligt.  
 

Waar begint u?

Nieuw in de rol als Security Officer. Waar begint u? Ons advies is om te starten met het beleid. Samen met de directie scherp krijgen hoe je als organisatie met informatiebeveiliging wilt omgaan. Een goede analyse van de organisatie en gegevens die zij ‘verwerkt’ is een belangrijk vertrekpunt voor de keuzes en maatregelen.  

Om vervolgens een goede risico-inventarisatie te doen die laat zien waar de aandacht naar toe moet gaan. Met doelgerichte maatregelen en een duidelijk stappenplan als antwoord daarop.  

Periodiek beoordeel je als SO het functioneren van alles maatregelen of in het geval dat er een NEN of ISO-certificering is, het Information Management Security System. Doen we de audits op tijd, wat komt daaruit en pakken we de maatregelen goed en tijdig op.  

Daarnaast liggen er nog meer taken op het bord. Het functieprofiel van de Security Officer geeft een verder verdieping hierop.  
 

Te klein of te weinig kennis in huis?

Niet iedere organisatie is van voldoende omvang of heeft iemand met de juiste kennis en ervaring voor handen om die rol in te vullen. In dat geval is het inhuren van een SO op deeltijdbasis of voor een bepaalde tijd een keuze om te overwegen.  
 

Wanneer doet u het goed?

U hoeft als SO niet per se alles 100% op orde en geregeld te hebben. Dat is niet mogelijk omdat het daar te omvangrijk voor is. U doet het goed als u grip heeft. Weten waar de risico’s zitten en die onder controle hebben. Maatregelen om de risico’s te verminderen tot een acceptabel niveau of te zorgen dat de impact als het toch gebeurt een stuk lager is. Wanneer de medewerkers en leveranciers zich bewust zijn van hun rol en bijdrage in het veilig omgaan met informatie dan heb je grote stappen gezet.  

Een mooie, uitdagende en belangrijke rol. Want de ‘wereld’ blijft data produceren. Elke dag meer en meer. Data waarvan iedereen gemakshalve aanneemt dat organisaties daar veilig mee omgaan.  

 

Blog geschreven door Sjoerd Marinussen, Business Consultant