CISO - pak die plek aan de directietafel

Informatiebeveiliging is een van de kritieke specialismen geworden van en binnen IT. De CISO moet degene zijn die op dat vlak de tooling, processen en mensen op elkaar afstemt. Zo helpt deze persoon een organisatie de bedrijfsvisie en -strategie om te zetten naar een informatiebeveiligingsbeleid, inclusief juridische componenten en naleving van normen.

Ten minste dat is de bedoeling. In de praktijk loopt dit vaak anders.

Ondergeschoven kindje

Informatiebeveiliging blijft een ondergeschoven kindje – of het nu komt doordat het niet tastbaar genoeg is, kennis in de directiekamer ontbreekt of omdat time-to-market simpelweg te belangrijk wordt gevonden. Vaak wordt bijvoorbeeld wel tooling aangeschaft, maar wordt deze niet geïntegreerd in de bredere bedrijfsvoering. Security blijft hierdoor vooral ‘een zaak voor de techneuten’. Dit zie je terug in de verwarring die heerst over het profiel van de CISO. Moet het een rastechneut zijn of iemand uit de businesszijde? Technische kennis van zaken is natuurlijk nodig, maar juist omdat een CISO zich moet ontfermen over beleid en processen, is een operationeel sterke security engineer niet altijd de goede persoon om tot CISO gebombardeerd te worden.

Pak die plek

Informatiebeveiliging is zogenoemd chefsache voor veel organisaties, maar we zien dat de CISO slechts bij wijze van uitzondering een plek aan de directietafel heeft. Voor de rest bevindt de CISO zich doorgaans in het middenmanagement.

Laten we wel wezen, bij chefsache hoort een directierol. Maar dat deze rol de CISO niet gegund wordt, is niet puur te wijten aan een gebrek aan kennis of urgentiegevoel onder directieleden. De CISO moet zelf verantwoordelijkheid nemen en de eigen rol profileren. Het is jammer dat dit doorgaans pas gebeurt wanneer er een security-incident plaatsvindt.

Dus beste CISO: sluit doorlopend aan bij directievergaderingen, stel je op als gesprekspartner en zorg dat je in ieder geval up-to-date bent over de bedrijfsstrategie en groeiplannen.

Directie en CISO moeten naar elkaar toe bewegen. Dat is een gezamenlijke verantwoordelijkheid. Wat zeker is, is dat informatiebeveiliging geen chefsache kan zijn zonder een duidelijk functieprofiel van de CISO én een vaste plek aan de directietafel.